Um die Bedeutung von Storm einzuordnen, lohnt ein Blick auf die technische Entwicklung. Früher entschlüsselten Stealer Browser-Zugangsdaten direkt auf dem Gerät des Opfers, indem sie SQLite-Bibliotheken luden und auf die Anmeldedatenspeicher zugriffen. Genau dieses lokale Verhalten lernten Endpoint-Schutzlösungen zuverlässig zu erkennen.
Mit der App-Bound Encryption in Chrome 127 koppelte Google im Juli 2024 die Verschlüsselungsschlüssel an Chrome selbst und erschwerte die lokale Entschlüsselung weiter. Erste Umgehungen injizierten Code in Chrome oder missbrauchten dessen Debugging-Protokoll, hinterließen dabei aber weiterhin Spuren. Daraufhin verzichteten Entwickler auf die lokale Entschlüsselung gänzlich und verschoben die verschlüsselten Dateien auf eigene Infrastruktur.
Storm treibt diesen Ansatz weiter: Die Software verarbeitet sowohl Chromium- als auch Gecko-basierte Browser (Firefox, Waterfox, Pale Moon) serverseitig, während etwa StealC V2 Firefox noch lokal abwickelt. Hat Storm die Browserdaten entschlüsselt, landen gestohlene Zugangsdaten und Sitzungs-Cookies direkt im Bedienfeld des Betreibers.
Während die meisten Stealer von ihren Käufern verlangen, gestohlene Protokolle manuell erneut abzuspielen, automatisiert Storm den nächsten Schritt: Wer einen Google-Refresh-Token und einen geografisch passenden SOCKS5-Proxy einspeist, lässt das Bedienfeld die authentifizierte Sitzung des Opfers im Stillen wiederherstellen. Varonis verweist auf eigene frühere Arbeiten: Die Cookie-Bite-Forschung zeigte, wie gestohlene Sitzungs-Cookies von Azure Entra ID die Mehr-Faktor-Authentifizierung aushebeln, die SessionShark-Analyse, wie Phishing-Kits Sitzungstoken in Echtzeit abfangen. Storms Cookie-Wiederherstellung sei dieselbe Technik – nur als Abo-Funktion produktisiert und verkauft.
Über Zugangsdaten hinaus greift Storm Dokumente aus Nutzerverzeichnissen ab, zieht Sitzungsdaten aus Telegram, Signal und Discord und zielt über Browser-Erweiterungen wie Desktop-Anwendungen auf Krypto-Wallets. Systeminformationen und Screenshots über mehrere Monitore werden erfasst, alles läuft im Arbeitsspeicher, um die Erkennungswahrscheinlichkeit zu senken.
Auf der Infrastrukturseite binden Betreiber eigene virtuelle Server (VPS) an Storms zentrale Server an und leiten gestohlene Daten über selbst kontrollierte Knoten. Das schirmt die zentralen Server gegen Abschaltversuche ab, weil Strafverfolger oder Missbrauchsmeldungen zuerst den Knoten des Betreibers treffen. Eine Team-Verwaltung erlaubt mehrere Mitarbeiter mit abgestuften Rechten für Protokollzugriff, Build-Erstellung und Cookie-Wiederherstellung. Eine Domain-Erkennung kennzeichnet gestohlene Zugangsdaten automatisch nach Dienst, mit sichtbaren Regeln für Google, Facebook, Twitter/X und cPanel.
Zum Untersuchungszeitpunkt enthielt das Protokoll-Bedienfeld 1.715 Einträge aus Indien, den USA, Brasilien, Indonesien, Ecuador, Vietnam und weiteren Ländern. Ob es sich durchweg um echte Opfer oder teils um Testdaten handelt, lässt sich allein anhand der Panel-Bilder schwer bestätigen; die unterschiedlichen IPs, Provider und Datengrößen wirken jedoch wie aktive Kampagnen. Zugangsdaten zu Google, Facebook, Twitter/X, Coinbase, Binance, Blockchain.com und Crypto.com tauchen mehrfach auf.
Storm wird gestaffelt verkauft: 300 Dollar für eine siebentägige Demo, 900 Dollar pro Monat in der Standardvariante, 1.800 Dollar pro Monat für eine Team-Lizenz mit 100 Betreiber-Plätzen und 200 Builds; ein Crypter ist zusätzlich erforderlich. Builds laufen auch nach Ablauf des Abonnements weiter, sodass bereits ausgebrachte Stealer unabhängig vom Lizenzstatus weiter Daten sammeln. Die aktuelle Version ist v0.0.2.0 (Gunnar), programmiert in C++ (MSVC/msbuild), rund 460 KB groß und ausschließlich für Windows.
