Um die Auswirkungen auf Unternehmen zu verstehen, ist es entscheidend, die Methodikänderung zu erkennen. Traditionelle Stealer entschlüsselten Browser-Zugangsdaten lokal, ein Prozess, bei dem Endpoint-Sicherheitslösungen geschickt im Erkennen wurden. Dies beinhaltete das Laden von SQLite-Bibliotheken und den direkten Zugriff auf die Zugangsdatenspeicher, was ein klares Indiz für bösartige Aktivitäten darstellte. Mit der Einführung der App-Bound Encryption von **Google** in **Chrome** 127 (Juli 2024), die Verschlüsselungsschlüssel an den Browser selbst bindet, wurde die lokale Entschlüsselung jedoch erheblich erschwert. Erste Umgehungsversuche beinhalteten das Injizieren in Chrome oder den Missbrauch seines Debugging-Protokolls, aber diese Methoden hinterließen immer noch nachweisbare Spuren. Stealer-Entwickler passten sich an, indem sie die lokale Entschlüsselung komplett eliminierten und stattdessen verschlüsselte Dateien an ihre eigene Infrastruktur versendeten. Dieser Ansatz umgeht effektiv die Telemetrie, auf die viele Endpoint-Tools zur Identifizierung von Zugangsdaten-Diebstahl angewiesen sind. **Storm** geht diesen Schritt weiter, indem es sowohl Chromium- als auch Gecko-basierte Browser (**Firefox**, **Waterfox**, **Pale Moon**) serverseitig verarbeitet, im Gegensatz zu Tools wie StealC V2, das Firefox-Daten immer noch lokal verarbeitet. Die von **Storm** gesammelten Daten umfassen alles, was für die Fernübernahme von Sitzungen und den Diebstahl von Opfern benötigt wird, einschließlich gespeicherter Passwörter, Sitzungs-Cookies, Autofill-Daten, Google-Konto-Tokens, Kreditkarteninformationen und Browserverlauf. Ein einzelner kompromittierter Mitarbeiterbrowser kann einem Angreifer authentifizierten Zugriff auf SaaS-Plattformen, interne Tools und Cloud-Umgebungen gewähren, ohne traditionelle passwortbasierte Warnungen auszulösen.  ## Cookie-Wiederherstellung und Sitzungsübernahme Sobald **Storm** die Browserdaten entschlüsselt hat, werden gestohlene Zugangsdaten und Sitzungs-Cookies direkt im Bedienfeld des Betreibers angezeigt. Im Gegensatz zu vielen Stealern, die eine manuelle Wiedergabe gestohlener Logs erfordern, automatisiert **Storm** die nachfolgenden Schritte. Durch die Eingabe eines Google Refresh Tokens und eines geografisch passenden SOCKS5-Proxys stellt das Bedienfeld die authentifizierte Sitzung des Opfers lautlos wieder her.  **Varonis** Threat Labs hat diese Art von Angriff bereits untersucht. Ihre [Cookie-Bite](https://www.varonis.com/blog/cookie-bite?hsLang=en)-Forschung zeigte, wie gestohlene **Azure** Entra ID-Sitzungs-Cookies MFA unwirksam machen können und Angreifern persistenten Zugriff auf **Microsoft 365** gewähren, ohne ein Passwort zu benötigen. Die [SessionShark](https://www.varonis.com/blog/sessionshark?hsLang=en)-Analyse veranschaulichte, wie Phishing-Kits Sitzungs-Tokens in Echtzeit abfangen, um Microsoft 365 MFA zu umgehen. Die Cookie-Wiederherstellungsfunktion von Storm produktisiert und verkauft diese Technik im Wesentlichen als Abonnementdienst. ## Sammlung und Infrastruktur Neben Zugangsdaten sammelt **Storm** Dokumente aus Benutzerverzeichnissen, extrahiert Sitzungsdaten von Telegram, Signal und Discord und zielt auf Kryptowährungs-Wallets über Browser-Erweiterungen und Desktop-Anwendungen ab. Es erfasst Systeminformationen und Screenshots über mehrere Monitore hinweg und arbeitet vollständig im Speicher, um das Erkennungsrisiko zu minimieren.  Auf der Infrastrukturseite verbinden Betreiber ihre eigenen virtuellen privaten Server (VPS) mit den zentralen Servern von **Storm** und leiten gestohlene Daten über die von ihnen kontrollierte Infrastruktur anstatt über eine gemeinsame Plattform. Dieser Ansatz schützt die zentralen Server vor Stilllegungsversuchen, da Strafverfolgungsbehörden oder Missbrauchsmeldungen zunächst den Knoten des Betreibers ins Visier nehmen. Teammanagement-Funktionen ermöglichen mehreren Mitarbeitern mit unterschiedlichen Berechtigungen für den Zugriff auf Logs, die Erstellung von Builds und die Wiederherstellung von Cookies, sodass eine einzige **Storm**-Lizenz eine kleine Cyberkriminalitätsoperation mit klar definierten Rollen unterstützen kann. Domain-Erkennungsfunktionen kennzeichnen gestohlene Zugangsdaten automatisch nach Dienst, mit vordefinierten Regeln für Google, Facebook, Twitter/X und cPanel, was den Prozess für Betreiber vereinfacht, Konten für die Ausnutzung zu filtern und zu priorisieren.  ## Aktive Kampagnen und Preise Während der Untersuchung enthielt das Log-Panel 1.715 Einträge aus Indien, den USA, Brasilien, Indonesien, Ecuador, Vietnam und mehreren anderen Ländern. Obwohl es schwierig ist festzustellen, ob alle Einträge echte Opfer darstellen oder Testdaten enthalten, deuten die unterschiedlichen IPs, ISPs und Datengrößen auf aktive Kampagnen hin. Zugangsdaten, die mit Google, Facebook, Twitter/X, Coinbase, Binance, Blockchain.com und Crypto.com in Verbindung gebracht wurden, wurden in mehreren Einträgen beobachtet. Diese Daten tauchen häufig auf [Credential-Marktplätzen](https://www.varonis.com/blog/how-hackers-buy-access?hsLang=en) auf und befeuern Account-Übernahmen, Betrug und den initialen Zugriff für gezieltere Einbrüche.   **Storm** wird auf Abonnementbasis angeboten: 300 US-Dollar für eine 7-tägige Demo, 900 US-Dollar/Monat für die Standardlizenz und 1.800 US-Dollar/Monat für eine Teamlizenz, die 100 Operator-Sitze und 200 Builds unterstützt. Ein Crypter ist separat erforderlich. Bemerkenswerterweise funktionieren die Builds auch nach Ablauf eines Abonnements weiter, sodass bereitgestellte Stealer weiterhin Daten sammeln, unabhängig vom Lizenzstatus des Betreibers.  ## Erkennung gestohlener Sitzungen **Storm** spiegelt einen breiteren Trend auf dem Stealer-Markt wider. Serverseitige Entschlüsselung ermöglicht es Angreifern, Endpoint-Tools zu umgehen, die für die Erkennung traditioneller lokaler Entschlüsselung entwickelt wurden, und der Diebstahl von Sitzungs-Cookies ersetzt zunehmend den Diebstahl von Passwörtern als Hauptziel. Die von Stealern wie **Storm** gesammelten Zugangsdaten und Sitzungen stellen die erste Phase eines Angriffs dar, die zu Anmeldungen von unbekannten Standorten, lateraler Bewegung und Datenzugriffsmustern führt, die von etablierten Normen abweichen. ## Indikatoren für Kompromittierung * **Forum-Handle:** StormStealer * **Forum-ID:** 221756 * **Registriertes Konto:** 12.12.25 * **Aktuelle Version:** v0.0.2.0 (Gunnar) * **Build-Merkmale:** C++ (MSVC/msbuild), ~460 KB, nur Windows