![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Sicherheitsforscher von den Varonis Threat Labs sind Anfang 2026 auf einen neuen Infostealer \u201eStorm\" gesto\u00dfen. Der wird derzeit unter Cyberkriminellen gehandelt und kann remote Sitzungsdaten aus den derzeit beliebtesten Browsern (Google Chrome, Microsoft Edge und Mozilla Firefox) sammeln.<\/p>\n
<\/p>\n
Storm sammelt Passw\u00f6rter, Zahlungskartendaten, Krypto-Details und mehr von Google, Coinbase, Binance und anderen. Mit einem raffinierten Trick entschl\u00fcsselt Storm Anmeldedaten remote, sodass Angreifer Sicherheitsma\u00dfnahmen umgehen k\u00f6nnen, die normalerweise verd\u00e4chtige Aktivit\u00e4ten melden w\u00fcrden.<\/p>\n
Das Toolkit Storm wird f\u00fcr Cyberkriminelle im Darknet relativ kosteng\u00fcnstig angeboten und ist f\u00fcr Laien relativ einfach zug\u00e4nglich und einsetzbar. Der Infostealer Storm tauchte\u00a0Anfang 2026 in den Untergrund-Foren im Darknet auf und markiert laut seinen Entdeckern von Varonis eine neue Entwicklung im Bereich des Diebstahls von Anmeldedaten.<\/p>\n
Fr\u00fcher entschl\u00fcsselten Stealer Browser-Anmeldedaten auf dem Rechner des Opfers. Dazu luden sie sie SQLite-Bibliotheken direkt auf die Ger\u00e4te, um auf den Anmeldedatenspeicher der Nutzer zugreifen. Endpoint-Sicherheitstools wurden immer besser darin, dies zu erkennen, sodass der Zugriff auf die lokale Browser-Datenbank zu einem der deutlichsten Anzeichen daf\u00fcr wurde, dass eine b\u00f6sartige Anwendung ausgef\u00fchrt wurde.<\/p>\n
Dann f\u00fchrte Google in Chrome 127 (Juli 2024) die App-Bound-Verschl\u00fcsselung ein, die Verschl\u00fcsselungsschl\u00fcssel an Chrome selbst band und die lokale Entschl\u00fcsselung noch schwieriger machte. Die erste Welle von Umgehungsversuchen bestand darin, Code in Chrome einzuschleusen oder dessen Debugging-Protokoll zu missbrauchen, doch diese hinterlie\u00dfen immer noch Spuren, die von Sicherheitstools erkannt werden konnten.<\/p>\n
Die Entwickler des Storm-Infostealer stellten darauf hin die lokale Entschl\u00fcsselung\u00a0 der Inhalte des Anmeldespeichers g\u00e4nzlich ein. Die verschl\u00fcsselte Dateien bzw. Daten werden stattdessen an die eigene Infrastruktur der Cyberkriminellen \u00fcbermittelten. Dadurch fallen keine Telemetriedaten an, auf die sich die meisten Endpoint-Tools zur Erkennung eines Anmeldedatendiebstahls st\u00fctzen. Storm geht noch einen Schritt weiter, indem es sowohl Chromium als auch Gecko-basierte Browser (Firefox, Waterfox, Pale Moon) serverseitig verarbeitet, w\u00e4hrend StealC V2 Firefox weiterhin lokal verarbeitet, schreiben die Sicherheitsforscher.<\/p>\n
Die gesammelten Daten aus dem Anmeldespeichers umfassen alles, was Angreifer ben\u00f6tigen, um gekaperte Sitzungen aus der Ferne wiederherzustellen und ihre Opfer zu bestehlen: gespeicherte Passw\u00f6rter, Sitzungs-Cookies, Autovervollst\u00e4ndigung, Google-Kontotoken, Kreditkartendaten und den Browserverlauf. Ein kompromittierter Mitarbeiterbrowser kann einem Angreifer authentifizierten Zugriff auf SaaS-Plattformen, interne Tools und Cloud-Umgebungen verschaffen, ohne jemals einen passwortbasierten Alarm auszul\u00f6sen.<\/p>\n
Das Storm Infostealer wird in Untergrundforen im Darknet relativ kosteng\u00fcnstig f\u00fcr Cyberkriminelle angeboten.<\/p>\n
![\"Storm](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/04\/image-8.png\")
<\/p>\n
F\u00fcr weniger als 1.000 US-Dollar im Monat erhalten Cyberkriminelle ein Toolkit f\u00fcr den Storm-Infostealer, der Browser-Anmeldedaten, Sitzungscookies und Krypto-Wallets sammelt und anschlie\u00dfend alles unbemerkt zur Entschl\u00fcsselung an den Server des Angreifers \u00fcbermittelt.<\/p>\n