No início de 2026 apareceu nos mercados clandestinos um novo infostealer chamado Storm, e sua chegada não é apenas a de outro programa malicioso mais: supõe uma evolução na forma como os atacantes roubam credenciais e seqüestram sessões. De acordo com a análise publicada por Varonis, Storm é oferecido como serviço por assinaturas mensais e por preços que, no seu pacote padrão, ficam abaixo dos 1.000 dólares, oferecendo aos operadores a capacidade de coletar credenciais de navegadores, cookies de sessão, tokenes de contas do Google e carteiras de criptomoedas, e depois enviar todos esses dados criptografados para infraestrutura controlada pelo atacante para sua decifração e exploração posterior ( Análise de Varonis).
Para compreender a importância desta mudança, há que remontar ao modo clássico de operação dos stealers. Tradicionalmente, estas ferramentas tentavam decifrar as credenciais diretamente na máquina comprometida, abrindo as bases locais dos navegadores (por exemplo, usando bibliotecas SQLite) e manipulando os armazéns locais de senhas. Esse comportamento local – o acesso direto às bases de dados do navegador e a carga de livrarias para desencriptar – era um dos indicadores que as soluções de endpoint começaram a detectar com eficácia.
Com o tempo as defesas evoluíram e a indústria do navegador também introduziu proteções adicionais. Um exemplo citado pelos pesquisadores foi a introdução de mecanismos que atam chaves de criptografia à própria aplicação do navegador, o que dificultou ainda mais a desencriptação local sem interagir com o processo do navegador. As primeiras tentativas de evitar essa restrição implicaram injetar código no processo do navegador ou abusar de seus protocolos de depuração, técnicas que ainda estavam deixando marcas e podiam ser detectadas por ferramentas de segurança. Diante disso, os desenvolvedores de stealers mudaram de tática: deixaram de tentar desencriptar localmente e começaram enviar os ficheiros encriptados para servidores externos para que todo o tratamento ocorra fora do endpoint, eliminando assim muitas das telemetrias que as EDR/AV usam para identificar um roubo de credenciais.
Storm leva essa ideia um passo além. Segundo o relatório, o projeto realiza a decifração e o processamento server-side tanto para navegadores baseados em Chromium como para os baseados em Gecko (Firefox, Waterfox, Pale Moon), enquanto outras famílias como StealC V2 ainda fazem parte do processamento na máquina vítima. O repertório de dados que Storm recolhe é amplo: senhas gravadas, cookies de sessão, formulários e autofill, tokens do Google, dados de cartões, história de navegação, documentos de diretórios do usuário e até sessões de mensagens de aplicativos como Telegram, Signal e Discord. Também inclui objetivos apeciáveis para ciberdelinquentes, como extensões e aplicações de desktop de carteiras de criptomoedas, capturas de tela em vários ecrãs e coleta de informações do sistema. Grande parte desse trabalho é realizada em memória para reduzir a possibilidade de detecção.
Uma das capacidades que torna o Storm particularmente perigoso é a automação do passo seguinte à coleta: em vez de entregar aos compradores um volcado de credenciais e pedir-lhes que as reutilizem manualmente, a ferramenta vuelca os dados decifrados num painel do operador e oferece funções que facilitam a restauração silenciosa de sessões. Com um token de refresco do Google e um proxy SOCKS5 cuja origem geográfica corresponda razoavelmente à vítima, o painel pode recriar a sessão autenticada sem necessidade de introduzir senhas, tornando o cookie ou o token roubado em acesso persistente e confiável. Pesquisas anteriores de Varonis, como Cookie-Bite e SessionShark, já haviam mostrado como cookies e tokens roubados podem fazer irrelevante o fator de autenticação adicional e permitir acessos sustentados a serviços na nuvem.
Quanto à arquitetura e à operação, Storm propõe um modelo em que cada operador liga seus próprios servidores virtuais à infraestrutura central do serviço, fazendo com que os dados roubados passem primeiro por nós controlados pelos compradores antes de atingir o backend. Essa topologia complica as ações de derrebo pelas forças de segurança, porque as denúncias ou bloqueios se encontram primeiro com hosts controlados pelo operador. O painel de gestão inclui funções orientadas para operações criminosas: controle de equipamentos com permissões granulares, regras de detecção automática por domínio que etiquetam credenciais por serviço (Google, Facebook, Twitter/X, cPanel, troca de criptomoedas) e mecanismos para priorizar objetivos. Nas imagens do painel analisadas por Varonis apareciam milhares de registros provenientes de múltiplos países e credenciais associadas a trocas de criptomoedas, redes sociais e serviços na nuvem, sugerindo campanhas ativas e transaccionais onde esses dados acabam em mercados de credenciais.
O modelo comercial é igualmente preocupante desde a perspectiva de acessibilidade: Storm se oferta em diferentes níveis, incluindo uma demo de curta duração e assinaturas mensais padrão e para equipamentos, com preços que facilitam que pequenos grupos criminosos possam operar com capacidades sofisticadas. Além disso, as compilações instaladas continuam a funcionar mesmo que a assinatura do operador expira, pelo que o impacto não desaparece automaticamente com o cancelamento do serviço.
Diante deste panorama, a resposta defensiva deve evoluir. As abordagens baseadas apenas na detecção de atividade de decifração local ou na proteção per-endpoint deixam zonas cegas quando o processamento ocorre fora do dispositivo comprometido. Por isso é essencial complementar essas defesas com controlos que protejam as sessões e detectem uso anómalo de credenciais. Implementar políticas de acesso condicional que exijam verificações de integridade do dispositivo, localização e risco antes de permitir ações sensíveis, limitar a duração e o alcance dos tokens de refrigerante, e forçar re-autenticação para operações críticas ajuda a reduzir a janela de exploração. Os equipamentos de segurança também devem priorizar a correlação de logs e a análise de comportamento de contas e dispositivos para identificar padrões como inícios de sessão de locais incompatíveis com a atividade prévia ou repetições de sessão desde proxies incomuns. Para referência a boas práticas de gestão de sessões, a comunidade tem recursos como o guia OWASP sobre gestão de sessões ( OWASP Session Management Cheat Sheet) e as recomendações de identidade do NIST ( NIST SP 800-63B).
No nível operacional, é conveniente rever a telemetria de rede e egress para detectar remessas invulgares de arquivos criptografados para servidores externos e padrões de conexão que indiquem o uso de proxies ou VPS recém provisionados. A telemetria de comportamento de endpoints continua a ser útil se for ampliada para identificar atividades relacionadas (por exemplo, processos que criam muitos arquivos temporários em memória, acessos concorrentes a múltiplos perfis de navegador ou capturas de tela que coincidem com acessos recentes a contas sensíveis). A utilização de capacidades UEBA e de detecção baseada em anomalias pode ajudar a descobrir acessos “legítimos” que não se encaixam no histórico da conta e, assim, bloquear ou exigir a verificação adicional. A Microsoft e outros fornecedores publicam guias sobre como aplicar controles de acesso condicional e proteger tokens em ambientes empresariais; esses controles são complementares à proteção perimetral e per-endpoint ( Documentação do Azure AD Conditional Access).
A lição para as organizações é clara: o fato de que um usuário não tenha mudado sua senha nem recebeu uma notificação de falha de login não implica que sua sessão não tenha sido comprometida. O roubo de cookies e tokens permite movimentos laterais e acessos persistentes sem disparar alertas de senha, portanto, as defesas devem concentrar-se tanto em proteger os segredos como em validar o contexto e a integridade de cada sessão. Em prática, isso significa políticas de curto prazo e rotação para tokens, aplicação de controles de acesso mais estritos para recursos críticos, segmentação de privilégios, monitoramento de uso anómalo de contas e capacidade de resposta que inclua a invalidação de sessões comprometidas e a pesquisa de nodos suspeitos de egress.
Storm não é um caso isolado, mas a manifestação de uma tendência: a externalização do trabalho de decifração e a priorização do roubo de sessões acima do roubo direto de senhas. Diante desse cenário, as empresas que confiam apenas na resistência das senhas e nos controlos endpoints tradicionais estarão em desvantagem frente a atacantes que já estão comercializando automação para restaurar sessões roubadas. Uma estratégia defensiva moderna deve combinar boas práticas de gestão de identidades, controles de acesso adaptativos e monitoramento avançado de comportamento para fechar as vias que essas ferramentas exploram.
Este artigo baseia-se no relatório técnico publicado por Varonis sobre o infostealer Storm e em pesquisas anteriores sobre roubo de cookies e tokens ( Relatório original em Varonis, Cookie-Bite, SessionShark). Para aprofundar as normas e recomendações sobre gestão de sessões e autenticação, consultar o guia OWASP e a publicação NIST acima mencionada.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...