Storm: nowy infostealer rozwija model kradzieży sesji i danych uwierzytelniających

Wprowadzenie do problemu / definicja

Infostealery pozostają jedną z najszybciej rozwijających się kategorii złośliwego oprogramowania. Ich głównym zadaniem jest pozyskiwanie danych o wysokiej wartości operacyjnej i finansowej, takich jak zapisane hasła, pliki cookie, tokeny sesyjne, dane przeglądarek, informacje systemowe czy zawartość portfeli kryptowalutowych. Na tym tle Storm wyróżnia się podejściem, które wykracza poza klasyczną kradzież poświadczeń i coraz mocniej koncentruje się na przejmowaniu aktywnych sesji użytkownika.

To istotna zmiana, ponieważ współczesna ochrona kont coraz częściej opiera się na mechanizmach MFA, politykach dostępu warunkowego i menedżerach haseł. W efekcie dla cyberprzestępców większą wartość niż samo hasło może mieć już aktywna, zaufana sesja użytkownika.

W skrócie

Storm to nowy infostealer rozwijany w modelu malware-as-a-service, zaprojektowany do kradzieży danych z przeglądarek i przejmowania sesji. Według dostępnych opisów malware zbiera poświadczenia, cookies, tokeny oraz dane środowiskowe, a część procesów związanych z przetwarzaniem materiału odbywa się po stronie infrastruktury operatora.

Taki model utrudnia analizę incydentu na urządzeniu ofiary, ogranicza liczbę lokalnych artefaktów i może zwiększać skuteczność obchodzenia zabezpieczeń endpointowych. W praktyce oznacza to wyższe ryzyko przejęcia kont nawet wtedy, gdy organizacja wdrożyła podstawowe środki ochrony haseł.

Kontekst / historia

Rynek infostealerów od dawna przesuwa się w stronę usługowego modelu działania. Operatorzy oferują gotowe panele, buildery, zaplecze C2 oraz mechanizmy eksportu wykradzionych danych, co znacząco obniża próg wejścia dla kolejnych grup przestępczych. Storm wpisuje się w ten trend jako kolejny przykład dojrzewania ekosystemu stealerów.

Zmianie ulega także sam cel ataku. W przeszłości nacisk kładziono przede wszystkim na kradzież loginów i haseł. Obecnie rośnie znaczenie materiału sesyjnego, ponieważ przejęte tokeny lub pliki cookie mogą umożliwić obejście części zabezpieczeń wieloskładnikowych, szczególnie jeśli usługa ufa już danej sesji lub urządzeniu.

Analiza techniczna

Dostępne informacje wskazują, że Storm działa jako wyspecjalizowany stealer danych z naciskiem na trzy obszary: ekstrakcję lokalnie zapisanych poświadczeń, kradzież cookies i tokenów sesyjnych oraz zbieranie informacji o zainfekowanym środowisku. Malware tego typu zwykle odczytuje lokalne bazy danych przeglądarek i inne magazyny, w których znajdują się loginy, historia, dane formularzy oraz materiał sesyjny.

Najciekawszą cechą Storm jest architektura, w której część przetwarzania danych została przeniesiona na serwer kontrolowany przez operatora. Z perspektywy obrońcy oznacza to, że próbka uruchomiona na stacji roboczej może nie zawierać pełnej logiki odszyfrowywania lub końcowej obróbki danych. Utrudnia to analizę malware, a jednocześnie pozwala atakującym szybciej modyfikować backend bez przebudowy całego łańcucha infekcji.

Typowy przebieg działania Storm może obejmować infekcję hosta poprzez złośliwy instalator, archiwum lub fałszywą aktualizację, następnie rozpoznanie środowiska, pobranie danych z przeglądarek, przesłanie materiału do infrastruktury przestępczej, dalsze przetworzenie po stronie serwera oraz wykorzystanie przejętych sesji do uzyskania dostępu, oszustw lub sprzedaży logów.

Taka architektura ma bezpośrednie konsekwencje dla detekcji. Same sygnatury statyczne mogą być niewystarczające, jeśli istotna część logiki operacyjnej działa poza hostem. Coraz większego znaczenia nabiera więc analiza behawioralna, obejmująca wykrywanie nietypowego dostępu do magazynów przeglądarek, podejrzanej komunikacji wychodzącej, anomalii procesowych oraz nagłych zmian w aktywności sesyjnej użytkownika.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem działania Storm jest możliwość przejęcia aktywnych sesji, a nie tylko kradzieży haseł. To znacząco zwiększa ryzyko dla usług chmurowych, platform SaaS, paneli administracyjnych, skrzynek pocztowych oraz systemów finansowych.

Dla organizacji oznacza to, że kompromitacja jednego endpointu może przełożyć się na dostęp do wielu usług biznesowych. Dodatkowo klasyczny reset hasła nie zawsze wystarcza jako pierwsza reakcja, jeśli atakujący posiada już ważne tokeny sesyjne lub komplet cookies umożliwiających kontynuowanie dostępu.

Ryzyko obejmuje również kolejne etapy ataku, w tym phishing wewnętrzny, nadużycie kont uprzywilejowanych, fraud, wyciek danych oraz sprzedaż dostępu brokerom początkowego dostępu. Użytkownicy indywidualni są szczególnie narażeni na utratę kont pocztowych, profili społecznościowych, dostępu do bankowości elektronicznej oraz środków przechowywanych w portfelach kryptowalutowych.

Rekomendacje

Storm pokazuje, że infostealery należy traktować jako zagrożenie tożsamościowe, a nie wyłącznie jako problem antywirusowy. Skuteczna obrona wymaga połączenia ochrony endpointu, monitorowania tożsamości oraz kontroli sesji.

• wdrożenie EDR lub XDR z naciskiem na detekcję behawioralną i telemetrykę przeglądarek,
• monitorowanie dostępu do magazynów poświadczeń i lokalnych baz danych przeglądarek,
• ograniczenie przechowywania haseł i danych kart w przeglądarkach,
• wymuszanie MFA odpornego na phishing tam, gdzie jest to możliwe,
• stosowanie polityk reautoryzacji i unieważniania sesji po wykryciu zmian ryzyka,
• segmentację dostępu uprzywilejowanego i używanie odrębnych stacji do zadań administracyjnych,
• analizę logowań pod kątem anomalii geolokalizacyjnych, device fingerprint i nietypowych wzorców sesyjnych,
• regularne szkolenia użytkowników dotyczące fałszywych instalatorów, archiwów i kampanii socjotechnicznych.

W przypadku podejrzenia infekcji należy przyjąć, że wyciekły nie tylko hasła, ale również aktywne sesje. Reakcja powinna obejmować izolację hosta, analizę artefaktów, pełne wylogowanie z usług krytycznych, unieważnienie tokenów sesyjnych, reset haseł z czystego urządzenia oraz przegląd kont uprzywilejowanych.

Użytkownicy indywidualni powinni unikać uruchamiania instalatorów z niezweryfikowanych źródeł, korzystać z menedżera haseł zamiast zapisu danych logowania w przeglądarce, włączyć MFA dla najważniejszych usług oraz po incydencie sprawdzić aktywne sesje i historię logowań na wszystkich kluczowych kontach.

Podsumowanie

Storm pokazuje, że współczesne infostealery stają się bardziej modularne, usługowe i ukierunkowane na przejmowanie tożsamości cyfrowej użytkownika. Przeniesienie części logiki przetwarzania danych na serwer operatora dodatkowo utrudnia analizę i może zwiększać skuteczność omijania klasycznych mechanizmów wykrywania.

Dla zespołów bezpieczeństwa to wyraźny sygnał, że obrona przed stealerami nie może ograniczać się do ochrony stacji roboczych. Równie istotne stają się monitoring sesji, unieważnianie tokenów, ochrona tożsamości i dokładna analiza zachowań w usługach chmurowych.

Źródła

• https://www.infosecurity-magazine.com/news/storm-infostealer-remotely/
• https://www.microsoft.com/en-us/security/blog/2026/02/02/infostealers-without-borders-macos-python-stealers-and-platform-abuse/
• https://www.cybersecbrief.com/insight/weekly-roundup/weekly-roundup-2026-03-16-12-00-00
• https://thecyberwire.com/podcasts/daily-podcast/2384/transcript