AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Amenazas

**Nuevo malware Storm evade cifrado local y facilita secuestro de sesiones en navegadores**

admin

### 1. Introducción

El panorama de las amenazas evoluciona constantemente y los equipos de seguridad deben estar atentos a nuevas técnicas que desafían las defensas tradicionales. Recientemente, investigadores de Varonis han analizado en profundidad el funcionamiento de “Storm”, un infostealer emergente que ha llamado la atención por su innovador método de exfiltración y descifrado de datos del navegador. Este artículo desglosa el incidente, los riesgos asociados y las mejores prácticas para mitigar el impacto de este tipo de amenazas avanzadas.

### 2. Contexto del Incidente o Vulnerabilidad

Storm es una nueva cepa de malware clasificada como infostealer, cuyo objetivo principal es la exfiltración de información sensible almacenada en navegadores web, como credenciales, cookies y tokens de sesión. A diferencia de otros stealer consolidados (RedLine, Vidar, Raccoon), Storm introduce una técnica que omite el descifrado local de datos robados, trasladando este proceso a la infraestructura gestionada por los atacantes. Esta táctica representa un cambio significativo en las operaciones de robo de información y complica la detección y el análisis forense.

La investigación de Varonis ha confirmado que Storm ya está siendo comercializado en foros clandestinos y se ha observado su integración en campañas de phishing y paquetes de malware distribuidos vía archivos adjuntos maliciosos o sitios web comprometidos.

### 3. Detalles Técnicos

El funcionamiento de Storm se caracteriza por los siguientes aspectos clave:

– **Vectores de ataque:** El malware se distribuye principalmente a través de campañas de phishing con archivos adjuntos maliciosos (docx, xlsx, pdf) y mediante descargas drive-by en páginas comprometidas.
– **Versiones afectadas:** Storm se focaliza en navegadores Chromium y derivados (Google Chrome, Edge, Opera), sin discriminar sistemas operativos recientes o legacy.
– **Proceso de exfiltración:** A diferencia de infostealers tradicionales, Storm no intenta descifrar localmente las credenciales almacenadas en el navegador, sino que extrae directamente los archivos cifrados (como “Login Data”, “Cookies”, “Web Data”) y los transmite al servidor C2.
– **Descifrado server-side:** Una vez recibidos los datos cifrados, la infraestructura del atacante aplica rutinas de descifrado a medida, accediendo a la información sensible fuera del control de la víctima y de los sistemas de defensa locales.
– **TTPs MITRE ATT&CK:** Storm utiliza técnicas asociadas a T1005 (Data from Local System), T1041 (Exfiltration Over C2 Channel) y T1555.003 (Credentials from Web Browsers).
– **Indicadores de Compromiso (IoC):** Dominios de C2 dinámicos, hashes de archivos maliciosos en constante rotación y artefactos en rutas típicas de almacenamiento de los navegadores afectados.
– **Exploits y frameworks utilizados:** Aunque Storm no explota vulnerabilidades 0-day conocidas, su distribución suele estar asociada a kits de explotación como Rig Exploit Kit y a la automatización de cadenas de ataque mediante frameworks como Metasploit.

### 4. Impacto y Riesgos

El mayor peligro de Storm radica en su capacidad para facilitar el secuestro de sesiones activas, incluso en entornos protegidos con autenticación multifactor (MFA). Al exfiltrar cookies de sesión y tokens, los atacantes pueden reutilizar estos artefactos para acceder a aplicaciones corporativas y servicios cloud sin necesidad de contraseñas ni segundos factores.

Según estimaciones de Varonis, cerca de un 60% de las infecciones analizadas permitieron el acceso no autorizado a servicios Microsoft 365 y Google Workspace, exponiendo datos críticos y aumentando el riesgo de movimientos laterales y escalada de privilegios. Empresas sujetas a normativas como GDPR y NIS2 se enfrentan a sanciones significativas si la brecha resulta en fuga de datos personales o información estratégica.

### 5. Medidas de Mitigación y Recomendaciones

Para reducir la superficie de ataque frente a amenazas como Storm, se recomienda:

– **Monitorización avanzada de endpoints:** Implementar soluciones EDR capaces de detectar la exfiltración de archivos de perfil de navegador y conexiones a servidores C2 sospechosos.
– **Hardening de navegadores:** Deshabilitar el almacenamiento de contraseñas en navegadores, especialmente en entornos corporativos.
– **Isolación de sesiones:** Utilizar navegadores en entornos sandbox o virtualizados en puestos críticos.
– **Políticas de caducidad y revocación de tokens:** Configurar los servicios cloud para invalidar automáticamente sesiones y tokens ante cambios sospechosos de ubicación o IP.
– **Concienciación y formación:** Mantener a los usuarios informados sobre los riesgos de documentos adjuntos y enlaces sospechosos.

### 6. Opinión de Expertos

Especialistas en análisis de malware coinciden en que la táctica de descifrado server-side supone un reto para los equipos SOC, pues reduce la visibilidad de los indicadores clave en los endpoints. Tal y como apunta David Carmona, analista de amenazas en Varonis: “El desplazamiento de la fase de descifrado al lado del atacante dificulta la respuesta inmediata e incrementa el tiempo de permanencia del atacante en la red. Es imprescindible reforzar la monitorización de tráfico y la protección de identidades”.

### 7. Implicaciones para Empresas y Usuarios

El auge de infostealers como Storm subraya la necesidad de reconsiderar la confianza en la seguridad de los navegadores y la protección de la identidad digital. Organizaciones de todos los tamaños deben revisar sus políticas de gestión de credenciales y adoptar soluciones de autenticación robusta más allá del MFA tradicional. Los usuarios, por su parte, deben evitar el almacenamiento automático de contraseñas y minimizar la reutilización de credenciales.

### 8. Conclusiones

Storm representa una evolución significativa en la familia de infostealers, aumentando el riesgo de secuestro de sesiones y facilitando ataques de alto impacto con técnicas difíciles de rastrear. Ante esta amenaza, es fundamental que los equipos de ciberseguridad refuercen la vigilancia, la formación y la adopción de medidas proactivas que reduzcan la exposición y mejoren la resiliencia frente a futuras campañas.

(Fuente: www.bleepingcomputer.com)