Die Entwicklung von Infostealern folgt einem besorgniserregenden Trend: Sie werden immer schwächer zu entdecken. Während frühere Stealerversionen Browserdaten direkt auf dem betroffenen Computer entschlüsselt haben, was von Sicherheitssoftware als verdächtig erkannt werden konnte, hat sich dies grundlegend geändert.
Ausgelöst wurde dieser Wandel durch Googles App-Bound Encryption in Chrome 127 (Juli 2024), die Verschlüsselungsschlüssel an Chrome selbst band. Stealerautoren antworteten mit einer raffinierteren Lösung: Sie entfernen die lokale Entschlüsselung komplett und schicken stattdessen verschlüsselte Dateien auf ihre eigenen Server. Das bedeutet weniger Spuren für Sicherheitstools.
Storm geht noch weiter. Das Schadprogramm verarbeitet Daten von Chromium-basierten Browsern (Chrome, Edge) und Firefox serverseitig, wo andere Stealerversionen wie StealC V2 noch lokal arbeiten. Die gestohlenen Daten umfassen alles, was Cyberkriminelle benötigen: Gespeicherte Passwörter, Session-Cookies, Auto-Fill-Daten, Google-Konten-Tokens, Kreditkartendaten und Browsing-Historie. Hinzu kommen Dokumente aus Benutzerverzeichnissen, Sitzungsdaten von Messaging-Plattformen wie Telegram, Signal und Discord sowie Anmeldedaten für Kryptobörsen wie Coinbase und Binance.
Besonders problematisch: Die gestohlenen Session-Cookies machen Mehrfaktor-Authentifizierung (MFA) irrelevant. Einmal erlangt, können Angreifer authentifizierte Sitzungen von überall mit einem geografisch angepassten VPN wiederherstellen, ohne dass Microsoft 365, Google Workspace oder andere Dienste das bemerken.
Storm wird im Abonnementmodell vertrieben. Für 300 Euro gibt es ein siebentägiges Demo-Paket, 900 Euro monatlich kostet die Standard-Version, und 1.800 Euro für eine Team-Lizenz mit 100 Arbeitsplätzen und 200 Build-Möglichkeiten. Ein zusätzlicher Krypter ist erforderlich.
Die Infrastruktur folgt einem dezentralisierten Ansatz: Operatoren verbinden ihre eigenen virtuellen Server mit Storms zentrale Servern. Dies isoliert die Zentralserver von Abschaltungsversuchen, da Behörden oder Abuse-Meldungen zunächst die Operator-Knoten treffen.
Zum Zeitpunkt der Analyse enthielt das Logs-Panel 1.715 Einträge mit Opfern aus Indien, USA, Brasilien, Indonesien, Ecuador, Vietnam und anderen Ländern. Die Operatoren können Zugangsdaten nach Diensten filtern — Google, Facebook, Twitter/X, Coinbase und andere — und so gezielt die wertvollsten Konten identifizieren. Diese Daten landen dann auf Credential-Marktplätzen und werden für Konto-Übernahmen und gezielte Eindringlinge missbraucht.
Das Besorgniserregende: Stealers wie Storm sind symptomatisch für einen grundlegenden Wandel. Server-seitige Entschlüsselung macht Erkennung deutlich schwerer, und Session-Cookie-Diebstahl ersetzt zunehmend klassischen Passwortklau. Für Unternehmen bedeutet das: Ein kompromittierter Mitarbeiter-Account kann der Ausgangspunkt für umfassende Netzwerk-Infiltrationen sein.