Sicherheitsforscher von den Varonis Threat Labs sind Anfang 2026 auf einen neuen Infostealer „Storm" gestoßen. Der wird derzeit unter Cyberkriminellen gehandelt und kann remote Sitzungsdaten aus den derzeit beliebtesten Browsern (Google Chrome, Microsoft Edge und Mozilla Firefox) sammeln.
Storm sammelt Passwörter, Zahlungskartendaten, Krypto-Details und mehr von Google, Coinbase, Binance und anderen. Mit einem raffinierten Trick entschlüsselt Storm Anmeldedaten remote, sodass Angreifer Sicherheitsmaßnahmen umgehen können, die normalerweise verdächtige Aktivitäten melden würden.
Das Toolkit Storm wird für Cyberkriminelle im Darknet relativ kostengünstig angeboten und ist für Laien relativ einfach zugänglich und einsetzbar. Der Infostealer Storm tauchte Anfang 2026 in den Untergrund-Foren im Darknet auf und markiert laut seinen Entdeckern von Varonis eine neue Entwicklung im Bereich des Diebstahls von Anmeldedaten.
Raffinierter Ansatz des Infostealers
Früher entschlüsselten Stealer Browser-Anmeldedaten auf dem Rechner des Opfers. Dazu luden sie sie SQLite-Bibliotheken direkt auf die Geräte, um auf den Anmeldedatenspeicher der Nutzer zugreifen. Endpoint-Sicherheitstools wurden immer besser darin, dies zu erkennen, sodass der Zugriff auf die lokale Browser-Datenbank zu einem der deutlichsten Anzeichen dafür wurde, dass eine bösartige Anwendung ausgeführt wurde.
Dann führte Google in Chrome 127 (Juli 2024) die App-Bound-Verschlüsselung ein, die Verschlüsselungsschlüssel an Chrome selbst band und die lokale Entschlüsselung noch schwieriger machte. Die erste Welle von Umgehungsversuchen bestand darin, Code in Chrome einzuschleusen oder dessen Debugging-Protokoll zu missbrauchen, doch diese hinterließen immer noch Spuren, die von Sicherheitstools erkannt werden konnten.
Die Entwickler des Storm-Infostealer stellten darauf hin die lokale Entschlüsselung der Inhalte des Anmeldespeichers gänzlich ein. Die verschlüsselte Dateien bzw. Daten werden stattdessen an die eigene Infrastruktur der Cyberkriminellen übermittelten. Dadurch fallen keine Telemetriedaten an, auf die sich die meisten Endpoint-Tools zur Erkennung eines Anmeldedatendiebstahls stützen. Storm geht noch einen Schritt weiter, indem es sowohl Chromium als auch Gecko-basierte Browser (Firefox, Waterfox, Pale Moon) serverseitig verarbeitet, während StealC V2 Firefox weiterhin lokal verarbeitet, schreiben die Sicherheitsforscher.
Die gesammelten Daten aus dem Anmeldespeichers umfassen alles, was Angreifer benötigen, um gekaperte Sitzungen aus der Ferne wiederherzustellen und ihre Opfer zu bestehlen: gespeicherte Passwörter, Sitzungs-Cookies, Autovervollständigung, Google-Kontotoken, Kreditkartendaten und den Browserverlauf. Ein kompromittierter Mitarbeiterbrowser kann einem Angreifer authentifizierten Zugriff auf SaaS-Plattformen, interne Tools und Cloud-Umgebungen verschaffen, ohne jemals einen passwortbasierten Alarm auszulösen.
Toolkit für unter 1.000 US-Dollar im Monat verfügbar
Das Storm Infostealer wird in Untergrundforen im Darknet relativ kostengünstig für Cyberkriminelle angeboten.
Für weniger als 1.000 US-Dollar im Monat erhalten Cyberkriminelle ein Toolkit für den Storm-Infostealer, der Browser-Anmeldedaten, Sitzungscookies und Krypto-Wallets sammelt und anschließend alles unbemerkt zur Entschlüsselung an den Server des Angreifers übermittelt.
Die Sicherheitsforscher haben ihre Erkenntnisse im Blog-Beitrag A Quiet "Storm": Infostealer Hijacks Sessions, Decrypts Server-Side veröffentlicht. Dort werden auch die Indicators of Compromise dokumentiert.
MVP: 2013 – 2016
