Anfang 2026 ein neuer Infostealer genannt Storm, und ihre Ankunft ist nicht nur die eines anderen schädlichen Programms: es ist eine Evolution in der Art, wie die Angreifer Anmeldeinformationen und Entführung Sitzungen stehlen. Nach der von Varonis veröffentlichten Analyse wird Storm als Service für monatliche Abonnements und Preise angeboten, die in seinem Standardpaket unter $1.000 liegen und den Betreibern die Möglichkeit bieten, Anmeldeinformationen von Browsern, Session-Cookies, Google-Account-Tokens und Kryptomoneda-Portfolios zu sammeln und dann alle diese verschlüsselten Daten an die vom Angreifer kontrollierte Infrastruktur für ihre Entschlüsselung und anschließende Nutzung zu senden ( Analyse von Varonis)
Um die Bedeutung dieser Änderung zu verstehen, müssen Sie zurück in die klassische Funktionsweise der Stehlen. Traditionell versuchten diese Tools, Anmeldeinformationen direkt in die verlobte Maschine zu entschlüsseln, die lokalen Basen von Browsern (z.B. mit SQLite-Bibliotheken) zu öffnen und lokale Passwort-Shops zu manipulieren. Dieses lokale Verhalten - direkter Zugriff auf Browser-Datenbanken und das Laden von entschlüsselten Buchläden - war einer der Indikatoren, die Endpoint-Lösungen begannen effektiv zu erkennen.
Im Laufe der Zeit entwickelten sich die Verteidigungen und die Browser-Industrie führte auch zusätzliche Schutzmaßnahmen. Ein von den Forschern zitiertes Beispiel war die Einführung von Mechanismen, die Verschlüsselungsschlüssel an die eigene Anwendung des Browsers binden, was es für die lokale Entschlüsselung weiter erschwerte, ohne mit dem Browser-Prozess zu interagieren. Die ersten Versuche, eine solche Einschränkung zu vermeiden, die mit Code in den Browser-Prozess einleitet oder seine Debugging-Protokolle, Techniken, die weiterhin eine Marke verlassen und konnte durch Sicherheitstools erkannt werden. Vor diesem Hintergrund veränderten sich die Entwickler von Stehlen die Taktik: Sie versuchten, lokal zu entschlüsseln und begannen, verschlüsselte Dateien an externe Server senden für alle Behandlungen außerhalb des Endpunktes auftreten, so dass viele der Telemetrien, die EDR / AV verwendet, um einen Diebstahl von Anmeldeinformationen zu identifizieren.
Storm nimmt diese Idee einen Schritt weiter. Laut dem Bericht entschlüsselt das Projekt sowohl für Chrom-basierte als auch für Gecko-basierte Browser (Firefox, Waterfox, Pale Moon), während andere Familien wie StealC V2 noch Teil der Verarbeitung auf der Opfermaschine sind. Das Datenrepertoire, das Storm sammelt, ist breit: gespeicherte Passwörter, Sitzungs-Cookies, Formulare und Autofill, Google-Token, Kartendaten, Browser-Geschichte, Dokumente von Benutzerverzeichnissen und sogar Applikations-Messaging-Sitzungen wie Telegram, Signal und Discord. Es umfasst auch wünschenswerte Ziele für Cyberkriminelle, wie Erweiterungen und Desktop-Anwendungen von Kryptomoneda Münzen, Screenshots auf mehreren Bildschirmen und Systeminformationen Sammlung. Ein Großteil dieser Arbeit wird im Speicher durchgeführt, um die Möglichkeit der Erkennung zu reduzieren.
Eine der Fähigkeiten, die Storm besonders gefährlich macht, ist die Automatisierung des nächsten Schrittes zur Sammlung: Statt den Käufern ein Flip-off von Anmeldeinformationen zu geben und sie zu bitten, sie manuell zu verwenden, verwandelt das Werkzeug die Entschlüsselungsdaten in ein Bedienfeld und bietet Funktionen, die die stille Wiederherstellung von Sitzungen erleichtern. Mit einem Google-Soda-Token und einem SOCKS5-Proxy, dessen geografischer Ursprung mit dem Opfer in angemessener Weise zusammenfällt, kann das Panel die authentifizierte Sitzung wiedererlangen, ohne dass Passwörter eingegeben werden müssen, wodurch das Cookie oder das gestohlene Token in einen dauerhaften und zuverlässigen Zugriff gelangt. Vorherige Untersuchungen von Varonis, wie Cookies und Sitzungsperiode sie hatten bereits gezeigt, wie gestohlene Cookies und Token den zusätzlichen Authentifizierungsfaktor irrelevant machen können und einen nachhaltigen Zugriff auf Cloud-Dienste ermöglichen.
Für Architektur und Betrieb schlägt Storm ein Modell vor, in dem jeder Bediener seine eigenen virtuellen Server mit der zentralen Infrastruktur des Dienstes verbindet, so dass die gestohlenen Daten zuerst durch von den Käufern kontrollierte Knoten gehen, bevor er das Backend erreicht. Diese Topologie erschwert die Handlungen des Debuggings durch die Sicherheitskräfte, weil die Beschwerden oder Blockaden zuerst mit von dem Bediener kontrollierten Wirten gefunden werden. Das Management-Panel umfasst Funktionen, die auf kriminelle Operationen ausgerichtet sind: Steuerung von Geräten mit körnigen Berechtigungen, automatische Domänenerkennungsregeln, die Anmeldeinformationen per Service (Google, Facebook, Twitter / X, cPanel, Kryptomoneda Austausch) und Mechanismen zur Priorisierung von Zielen kennzeichnen. Die Bilder des von Varonis analysierten Panels zeigten Tausende von Datensätzen aus mehreren Ländern und Anmeldeinformationen, die mit Kryptomoneda-, Social Media- und Cloud-Diensten verbunden sind, was auf aktive und Transaktionskampagnen hindeutet, in denen diese Daten in Anmeldemärkten enden.
Ebenso beunruhigt sich das kommerzielle Modell aus Sicht der Zugänglichkeit: Storm wird auf verschiedenen Ebenen angeboten, einschließlich einer kurzfristigen Demo und Standard monatliche Abonnements für Ausrüstung, mit Preisen, die es für kleine kriminelle Gruppen erleichtern, mit anspruchsvollen Fähigkeiten zu arbeiten. Darüber hinaus arbeiten die bereitgestellten Kompilationen auch dann weiter, wenn das Abonnement des Betreibers abläuft, so dass die Auswirkungen bei der Service-Storno nicht automatisch verschwinden.
Vor diesem Hintergrund muss sich die defensive Antwort entwickeln. Die Ansätze, die nur auf der Detektion lokaler Entschlüsselungsaktivität oder dem Per-Endpunkt-Schutz beruhen, lassen Blindbereiche, wenn die Verarbeitung außerhalb des kompromittierten Geräts erfolgt. Daher ist es wichtig, diese Verteidigung mit Kontrollen zu ergänzen, die Sitzungen schützen und anormale Verwendung von Anmeldeinformationen erkennen. Implementieren von bedingten Zugriffsrichtlinien, die Geräteintegrität, Standort- und Risikokontrollen erfordern, bevor sensible Handlungen zugelassen werden, die Dauer und den Umfang von Soda-Token einschränken und die erneute Authentifizierung für kritische Operationen verstärken das Betriebssystemfenster. Sicherheitsteams sollten auch die Logkorrelation und die Analyse des Kontos und des Geräteverhaltens priorisieren, um Muster wie Login von Orten zu identifizieren, die mit früheren Aktivitäts- oder Sitzungsrepetitionen von ungewöhnlichen Proxy unvereinbar sind. Für den Bezug auf gute Sitzungsmanagement-Praktiken hat die Gemeinschaft Ressourcen wie den OWASP-Leitfaden für Sitzungsmanagement ( OWASP Session Management Cheat Sheet) und NISTs Identitätsempfehlungen ( NIST SP 800-63B)
Auf der betrieblichen Ebene ist es angebracht, die Netztelemetrie und -fortschritte zu überprüfen, ungewöhnliche Sendungen von verschlüsselten Dateien an externe Server und Verbindungsmuster zu erkennen, die die Verwendung von neu bereitgestellten Proxy oder VPS angeben. Endpoints-Verhaltenstelemetrie bleibt nützlich, wenn es erweitert wird, um verwandte Aktivitäten zu identifizieren (z.B. Prozesse, die viele temporäre Dateien im Speicher erstellen, gleichzeitiger Zugriff auf mehrere Browser-Profile oder Screenshots, die den neuesten Zugriff auf empfindliche Konten entsprechen). Die Verwendung von UEBA-Fähigkeiten und anomaly-basierten Erkennungen kann dazu beitragen, "legitimate" Zugriffe zu entdecken, die nicht der Kontohistorie passen und somit eine zusätzliche Überprüfung erfordern. Microsoft und andere Lieferanten veröffentlichen Richtlinien über die Anwendung von bedingten Zugangskontrollen und den Schutz von Token in Geschäftsumgebungen; diese Kontrollen sind komplementär zu Perimeter und Per-Endpoint-Schutz ( Dokumentation von Azure AD Conditional Access)
Die Unterrichtsstunde für Organisationen ist klar: Die Tatsache, dass ein Benutzer sein Passwort nicht geändert hat oder eine Anmeldeversagensmitteilung erhalten hat, bedeutet nicht, dass seine Sitzung nicht beeinträchtigt wurde. Die Diebstahl von Cookies und Token ermöglicht Seitenbewegungen und persistente Zugriffe ohne feuerung von Passwort-Benachrichtigungen die Verteidigung sollte sich auf den Schutz der Geheimnisse und die Validierung des Kontexts und der Integrität jeder Sitzung konzentrieren. In der Praxis bedeutet dies kurzfristige Politiken und Drehungen für Token, die Anwendung strengerer Zugangskontrollen für kritische Ressourcen, die Segmentierung von Privilegien, die Überwachung der abnormen Nutzung von Konten und eine Antwortkapazität, die die Invalidierung von kompromittierten Sitzungen und die Untersuchung von egress vermuteten Knoten umfasst.
Storm ist kein isolierter Fall, sondern die Manifestation eines Trends: das Outsourcing von Entschlüsselungsarbeiten und die Priorisierung von Session Diebstahl über direkter Passwortdiebstahl. Angesichts dieses Szenarios sind Unternehmen, die sich nur auf den Widerstand von Passwörtern und traditionellen Endpoint-Kontrollen verlassen, von Nachteil gegen Angreifer, die bereits Marketingautomatisierung sind, um gestohlene Sitzungen wiederherzustellen. Eine moderne Verteidigungsstrategie muss gute Identitätsmanagement-Praktiken, adaptive Zugangskontrollen und eine fortschrittliche Verhaltensüberwachung kombinieren, um die Art und Weise zu schließen, wie diese Tools ausnutzen.
Dieser Artikel basiert auf dem von Varonis veröffentlichten technischen Bericht über den Infostealer Storm und der bisherigen Forschung über Cookies und Token Diebstahl ( Originalbericht in Varonis, Cookies, Sitzungsperiode) Der OWASP-Führer und die oben erwähnte NIST-Veröffentlichung stehen für weitere Details zu Standards und Empfehlungen zur Sitzungsverwaltung und Authentifizierung zur Verfügung.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...