Para entender as implicações para as empresas, é crucial reconhecer a mudança na metodologia. Stealers tradicionais descriptografavam credenciais de navegador localmente, um processo que as soluções de segurança de endpoint se tornaram proficientes em detectar. Isso envolvia carregar bibliotecas SQLite e acessar diretamente os armazenamentos de credenciais, criando um indicador claro de atividade maliciosa. No entanto, com a introdução da Criptografia Vinculada a Aplicativos (App-Bound Encryption) do **Google** no **Chrome** 127 (julho de 2024), que vincula as chaves de criptografia ao próprio navegador, a descriptografia local tornou-se significativamente mais desafiadora. As tentativas iniciais de bypass envolviam injeção no Chrome ou abuso de seu protocolo de depuração, mas esses métodos ainda deixavam rastros detectáveis. Os desenvolvedores de stealers se adaptaram eliminando completamente a descriptografia local, optando por enviar arquivos criptografados para sua própria infraestrutura. Essa abordagem contorna efetivamente a telemetria na qual muitas ferramentas de endpoint dependem para identificar o roubo de credenciais. O **Storm** leva essa estratégia um passo adiante, lidando com navegadores baseados em Chromium e Gecko (**Firefox**, **Waterfox**, **Pale Moon**) no lado do servidor, em contraste com ferramentas como o StealC V2, que ainda processa dados do Firefox localmente. Os dados coletados pelo **Storm** abrangem tudo o que é necessário para sequestrar sessões remotamente e roubar vítimas, incluindo senhas salvas, cookies de sessão, dados de preenchimento automático, tokens de conta do Google, informações de cartão de crédito e histórico de navegação. Um único navegador de funcionário comprometido pode conceder a um atacante acesso autenticado a plataformas SaaS, ferramentas internas e ambientes de nuvem sem disparar alertas tradicionais baseados em senha.  ## Restauração de Cookies e Sequestro de Sessão Uma vez que o **Storm** descriptografa os dados do navegador, as credenciais roubadas e os cookies de sessão são apresentados diretamente no painel do operador. Ao contrário de muitos stealers que exigem a reprodução manual de logs roubados, o **Storm** automatiza as etapas subsequentes. Ao inserir um Token de Atualização do Google e um proxy SOCKS5 geograficamente correspondente, o painel restaura silenciosamente a sessão autenticada da vítima.  A **Varonis** Threat Labs já investigou essa classe de ataque anteriormente. Sua pesquisa [Cookie-Bite](https://www.varonis.com/blog/cookie-bite?hsLang=en) demonstrou como cookies de sessão do **Azure** Entra ID roubados podem tornar o MFA ineficaz, concedendo aos atacantes acesso persistente ao **Microsoft 365** sem a necessidade de senha. A análise [SessionShark](https://www.varonis.com/blog/sessionshark?hsLang=en) ilustrou como kits de phishing interceptam tokens de sessão em tempo real para contornar o MFA do Microsoft 365. O recurso de restauração de cookies do Storm essencialmente produtiza e vende essa técnica como um serviço de assinatura. ## Coleta e Infraestrutura Além das credenciais, o **Storm** coleta documentos de diretórios de usuários, extrai dados de sessão do Telegram, Signal e Discord, e tem como alvo carteiras de criptomoedas por meio de extensões de navegador e aplicativos desktop. Ele captura informações do sistema e capturas de tela em vários monitores, operando inteiramente na memória para minimizar o risco de detecção.  Na frente da infraestrutura, os operadores conectam seus próprios servidores virtuais privados (VPS) aos servidores centrais do **Storm**, roteando dados roubados através de infraestrutura que eles controlam, em vez de uma plataforma compartilhada. Essa abordagem protege os servidores centrais contra tentativas de desativação, pois as autoridades policiais ou relatórios de abuso visam inicialmente o nó do operador. As capacidades de gerenciamento de equipe permitem múltiplos trabalhadores com permissões variadas para acesso a logs, criação de builds e restauração de cookies, permitindo que uma única licença **Storm** suporte uma pequena operação de cibercrime com funções claramente definidas. Os recursos de detecção de domínio rotulam automaticamente as credenciais roubadas por serviço, com regras pré-definidas para Google, Facebook, Twitter/X e cPanel, simplificando o processo para os operadores filtrarem e priorizarem contas para exploração.  ## Campanhas Ativas e Preços Durante a investigação, o painel de logs continha 1.715 entradas abrangendo Índia, EUA, Brasil, Indonésia, Equador, Vietnã e vários outros países. Embora seja difícil determinar se todas as entradas representam vítimas genuínas ou incluem dados de teste, os IPs, ISPs e tamanhos de dados variados sugerem campanhas ativas. Credenciais associadas a Google, Facebook, Twitter/X, Coinbase, Binance, Blockchain.com e Crypto.com foram observadas em várias entradas, dados que comumente aparecem em [mercados de credenciais](https://www.varonis.com/blog/how-hackers-buy-access?hsLang=en), alimentando o takeover de contas, fraudes e acesso inicial para intrusões mais direcionadas.   O **Storm** é oferecido em uma base de assinatura escalonada: US$ 300 para uma demonstração de 7 dias, US$ 900/mês para a licença padrão e US$ 1.800/mês para uma licença de equipe que suporta 100 assentos de operador e 200 builds. Um crypter é necessário separadamente. Significativamente, os builds continuam a operar mesmo após o vencimento de uma assinatura, garantindo que os stealers implantados continuem a coletar dados, independentemente do status da licença do operador.  ## Detectando Sessões Roubadas O **Storm** reflete uma tendência mais ampla no mercado de stealers. A descriptografia no lado do servidor permite que os atacantes contornem ferramentas de endpoint projetadas para detectar a descriptografia tradicional no dispositivo, e o roubo de cookies de sessão está substituindo cada vez mais o roubo de senhas como objetivo principal. As credenciais e sessões coletadas por stealers como o **Storm** representam o estágio inicial de um ataque, levando a logins de locais desconhecidos, movimento lateral e padrões de acesso a dados que se desviam das normas estabelecidas. ## Indicadores de Comprometimento * **Identificador no fórum:** StormStealer * **ID da conta:** 221756 * **Conta registrada:** 12/12/25 * **Versão atual:** v0.0.2.0 (Gunnar) * **Características do build:** C++ (MSVC/msbuild), ~460 KB, apenas Windows