Para comprender las implicaciones para las empresas, es crucial reconocer el cambio en la metodología. Los stealers tradicionales descifraban las credenciales del navegador localmente, un proceso que las soluciones de seguridad de endpoints se volvieron expertas en detectar. Esto implicaba cargar bibliotecas SQLite y acceder directamente a los almacenes de credenciales, creando un indicador claro de actividad maliciosa. Sin embargo, con la introducción del cifrado App-Bound de **Google** en **Chrome** 127 (julio de 2024), que vincula las claves de cifrado al propio navegador, el descifrado local se volvió significativamente más desafiante. Los intentos iniciales de elusión implicaron inyectarse en Chrome o abusar de su protocolo de depuración, pero estos métodos aún dejaban rastros detectables. Los desarrolladores de stealers se adaptaron eliminando por completo el descifrado local, optando por enviar archivos cifrados a su propia infraestructura. Este enfoque elude efectivamente la telemetría en la que muchas herramientas de endpoint confían para identificar el robo de credenciales. **Storm** lleva esta estrategia un paso más allá al manejar navegadores basados en Chromium y Gecko (**Firefox**, **Waterfox**, **Pale Moon**) del lado del servidor, en contraste con herramientas como StealC V2, que aún procesa datos de Firefox localmente. Los datos recopilados por **Storm** abarcan todo lo necesario para secuestrar sesiones de forma remota y robar a las víctimas, incluidas contraseñas guardadas, cookies de sesión, datos de autocompletado, tokens de cuenta de Google, información de tarjetas de crédito e historial de navegación. Un solo navegador de empleado comprometido puede otorgar a un atacante acceso autenticado a plataformas SaaS, herramientas internas y entornos en la nube sin activar alertas tradicionales basadas en contraseñas.  ## Restauración de Cookies y Secuestro de Sesión Una vez que **Storm** descifra los datos del navegador, las credenciales robadas y las cookies de sesión se presentan directamente en el panel del operador. A diferencia de muchos stealers que requieren la reproducción manual de registros robados, **Storm** automatiza los pasos posteriores. Al ingresar un Token de Actualización de Google y un proxy SOCKS5 geográficamente coincidente, el panel restaura silenciosamente la sesión autenticada de la víctima.  **Varonis** Threat Labs ha investigado previamente esta clase de ataques. Su investigación [Cookie-Bite](https://www.varonis.com/blog/cookie-bite?hsLang=en) demostró cómo las cookies de sesión robadas de **Azure** Entra ID pueden hacer que el MFA sea ineficaz, otorgando a los atacantes acceso persistente a **Microsoft 365** sin requerir una contraseña. El análisis de [SessionShark](https://www.varonis.com/blog/sessionshark?hsLang=en) ilustró cómo los kits de phishing interceptan tokens de sesión en tiempo real para eludir el MFA de Microsoft 365. La función de restauración de cookies de Storm esencialmente comercializa y vende esta técnica como un servicio de suscripción. ## Recopilación e Infraestructura Más allá de las credenciales, **Storm** cosecha documentos de directorios de usuarios, extrae datos de sesión de Telegram, Signal y Discord, y apunta a billeteras de criptomonedas a través de extensiones de navegador y aplicaciones de escritorio. Captura información del sistema y capturas de pantalla en múltiples monitores, operando completamente en memoria para minimizar el riesgo de detección.  En el frente de la infraestructura, los operadores conectan sus propios servidores privados virtuales (VPS) a los servidores centrales de **Storm**, enrutando los datos robados a través de la infraestructura que controlan, en lugar de una plataforma compartida. Este enfoque protege los servidores centrales de intentos de desmantelamiento, ya que las fuerzas del orden o los informes de abuso inicialmente apuntan al nodo del operador. Las capacidades de gestión de equipos permiten múltiples trabajadores con diferentes permisos para el acceso a registros, la creación de builds y la restauración de cookies, lo que permite que una sola licencia de **Storm** admita una pequeña operación de cibercrimen con roles claramente definidos. Las funciones de detección de dominios etiquetan automáticamente las credenciales robadas por servicio, con reglas predefinidas para Google, Facebook, Twitter/X y cPanel, simplificando el proceso para que los operadores filtren y prioricen las cuentas para su explotación.  ## Campañas Activas y Precios Durante la investigación, el panel de registros contenía 1,715 entradas que abarcaban India, EE. UU., Brasil, Indonesia, Ecuador, Vietnam y varios otros países. Si bien es difícil determinar si todas las entradas representan víctimas genuinas o incluyen datos de prueba, las diversas IPs, ISPs y tamaños de datos sugieren campañas activas. Se observaron credenciales asociadas con Google, Facebook, Twitter/X, Coinbase, Binance, Blockchain.com y Crypto.com en múltiples entradas, datos que comúnmente aparecen en [mercados de credenciales](https://www.varonis.com/blog/how-hackers-buy-access?hsLang=en), alimentando la toma de control de cuentas, el fraude y el acceso inicial para intrusiones más dirigidas.   **Storm** se ofrece en un modelo de suscripción escalonada: $300 por una demostración de 7 días, $900/mes para la licencia estándar y $1,800/mes para una licencia de equipo que admite 100 asientos de operador y 200 builds. Se requiere un crypter por separado. Significativamente, los builds continúan operando incluso después de que expira una suscripción, asegurando que los stealers desplegados continúen recolectando datos independientemente del estado de la licencia del operador.  ## Detección de Sesiones Robadas **Storm** refleja una tendencia más amplia en el mercado de stealers. El descifrado del lado del servidor permite a los atacantes eludir las herramientas de endpoint diseñadas para detectar el descifrado tradicional en el dispositivo, y el robo de cookies de sesión está reemplazando cada vez más el robo de contraseñas como objetivo principal. Las credenciales y sesiones recolectadas por stealers como **Storm** representan la etapa inicial de un ataque, lo que lleva a inicios de sesión desde ubicaciones desconocidas, movimiento lateral y patrones de acceso a datos que se desvían de las normas establecidas. ## Indicadores de Compromiso * **Handle del foro:** StormStealer * **ID del foro:** 221756 * **Cuenta registrada:** 12/12/25 * **Versión actual:** v0.0.2.0 (Gunnar) * **Características del build:** C++ (MSVC/msbuild), ~460 KB, solo Windows