Pour comprendre les implications pour les entreprises, il est crucial de reconnaître le changement de méthodologie. Les stealers traditionnels déchiffraient les identifiants de navigateur localement, un processus que les solutions de sécurité des points d'extrémité maîtrisaient à la détection. Cela impliquait le chargement de bibliothèques SQLite et l'accès direct aux magasins d'identifiants, créant ainsi un indicateur clair d'activité malveillante. Cependant, avec l'introduction du chiffrement lié aux applications de **Google** dans **Chrome** 127 (juillet 2024), qui lie les clés de chiffrement au navigateur lui-même, le déchiffrement local est devenu beaucoup plus difficile. Les premières tentatives de contournement impliquaient l'injection dans Chrome ou l'abus de son protocole de débogage, mais ces méthodes laissaient encore des traces détectables. Les développeurs de stealers se sont adaptés en éliminant complètement le déchiffrement local, choisissant d'expédier des fichiers chiffrés vers leur propre infrastructure. Cette approche contourne efficacement la télémétrie sur laquelle de nombreux outils de point d'extrémité s'appuient pour identifier le vol d'identifiants. **Storm** va plus loin dans cette stratégie en gérant côté serveur les navigateurs basés sur Chromium et Gecko (**Firefox**, **Waterfox**, **Pale Moon**), contrairement à des outils comme StealC V2, qui traitent toujours les données Firefox localement. Les données collectées par **Storm** englobent tout ce qui est nécessaire pour détourner des sessions à distance et voler des victimes, y compris les mots de passe enregistrés, les cookies de session, les données de remplissage automatique, les jetons de compte Google, les informations de carte de crédit et l'historique de navigation. Un seul navigateur d'employé compromis peut accorder à un attaquant un accès authentifié aux plateformes SaaS, aux outils internes et aux environnements cloud sans déclencher les alertes traditionnelles basées sur les mots de passe.  ## Restauration de cookies et détournement de session Une fois que **Storm** a déchiffré les données du navigateur, les identifiants volés et les cookies de session sont présentés directement dans le panneau de l'opérateur. Contrairement à de nombreux stealers qui nécessitent une relecture manuelle des journaux volés, **Storm** automatise les étapes suivantes. En saisissant un jeton de rafraîchissement Google et un proxy SOCKS5 géographiquement correspondant, le panneau restaure silencieusement la session authentifiée de la victime.  Les **Varonis** Threat Labs ont déjà enquêté sur cette classe d'attaques. Leurs recherches [Cookie-Bite](https://www.varonis.com/blog/cookie-bite?hsLang=en) ont démontré comment les cookies de session volés d'**Azure** Entra ID peuvent rendre le MFA inefficace, accordant aux attaquants un accès persistant à **Microsoft 365** sans nécessiter de mot de passe. L'analyse [SessionShark](https://www.varonis.com/blog/sessionshark?hsLang=en) a illustré comment les kits de phishing interceptent les jetons de session en temps réel pour contourner le MFA de Microsoft 365. La fonctionnalité de restauration de cookies de Storm produit et vend essentiellement cette technique sous forme de service par abonnement. ## Collecte et infrastructure Au-delà des identifiants, **Storm** récolte des documents des répertoires des utilisateurs, extrait des données de session de Telegram, Signal et Discord, et cible les portefeuilles de cryptomonnaies via des extensions de navigateur et des applications de bureau. Il capture les informations système et les captures d'écran sur plusieurs moniteurs, fonctionnant entièrement en mémoire pour minimiser le risque de détection.  Sur le plan de l'infrastructure, les opérateurs connectent leurs propres serveurs privés virtuels (VPS) aux serveurs centraux de **Storm**, acheminant les données volées via une infrastructure qu'ils contrôlent, plutôt qu'une plateforme partagée. Cette approche protège les serveurs centraux contre les tentatives de démantèlement, car les forces de l'ordre ou les rapports d'abus ciblent initialement le nœud de l'opérateur. Les capacités de gestion d'équipe permettent à plusieurs opérateurs avec des autorisations variables pour l'accès aux journaux, la création de builds et la restauration de cookies, permettant à une seule licence **Storm** de prendre en charge une petite opération cybercriminelle avec des rôles clairement définis. Les fonctionnalités de détection de domaine étiquettent automatiquement les identifiants volés par service, avec des règles prédéfinies pour Google, Facebook, Twitter/X et cPanel, simplifiant ainsi le processus pour les opérateurs de filtrer et de prioriser les comptes à exploiter.  ## Campagnes actives et tarification Au cours de l'enquête, le panneau des journaux contenait 1 715 entrées couvrant l'Inde, les États-Unis, le Brésil, l'Indonésie, l'Équateur, le Vietnam et plusieurs autres pays. Bien qu'il soit difficile de déterminer si toutes les entrées représentent de véritables victimes ou incluent des données de test, les adresses IP, les FAI et les tailles de données variés suggèrent des campagnes actives. Des identifiants associés à Google, Facebook, Twitter/X, Coinbase, Binance, Blockchain.com et Crypto.com ont été observés dans plusieurs entrées, des données qui refont couramment surface sur les [places de marché d'identifiants](https://www.varonis.com/blog/how-hackers-buy-access?hsLang=en), alimentant la prise de contrôle de comptes, la fraude et l'accès initial pour des intrusions plus ciblées.   **Storm** est proposé sur une base d'abonnement à plusieurs niveaux : 300 $ pour une démo de 7 jours, 900 $/mois pour la licence standard et 1 800 $/mois pour une licence d'équipe prenant en charge 100 sièges d'opérateur et 200 builds. Un crypteur est requis séparément. De manière significative, les builds continuent de fonctionner même après l'expiration d'un abonnement, garantissant que les stealers déployés continuent de récolter des données, quel que soit le statut de licence de l'opérateur.  ## Détection des sessions volées **Storm** reflète une tendance plus large sur le marché des stealers. Le déchiffrement côté serveur permet aux attaquants de contourner les outils de point d'extrémité conçus pour détecter le déchiffrement traditionnel sur l'appareil, et le vol de cookies de session remplace de plus en plus le vol de mots de passe comme objectif principal. Les identifiants et les sessions récoltés par des stealers comme **Storm** représentent la première étape d'une attaque, conduisant à des connexions depuis des endroits inconnus, à des mouvements latéraux et à des modèles d'accès aux données qui s'écartent des normes établies. ## Indicateurs de compromission * **Pseudo du forum :** StormStealer * **ID du forum :** 221756 * **Compte enregistré :** 12/12/25 * **Version actuelle :** v0.0.2.0 (Gunnar) * **Caractéristiques du build :** C++ (MSVC/msbuild), ~460 Ko, uniquement Windows