Es ist kurz nach Mitternacht. Der Raum ist dunkel, nur der schwache Lichtschein des Monitors beleuchtet das Gesicht des Operators. Vor ihm liegt kein klassischer Hacker-Arbeitsplatz, sondern ein sauber eingerichtetes Home-Office. Auf dem Bildschirm öffnet er Storm, das neue Infostealer-Panel, das seit Wochen in den Untergrundforen die Runde macht. Mit wenigen Klicks prüft er die Logs: Konten aus Indien, den USA, Brasilien und Vietnam – jede Zeile ein potenzieller Schatz an Credentials, Session-Cookies und Krypto-Wallet-Zugängen. Er klickt auf „Build erstellen“ – innerhalb von Sekunden generiert Storm eine neue Version des Stealers, maßgeschneidert für Windows-Browser. Alles läuft serverseitig, keine Spuren auf den Endgeräten, keine Alarmmeldungen der Endpoint-Security.

Ohne dass die Opfer es ahnen, greift Storm die Browser-Daten an: gespeicherte Passwörter, Session-Cookies, Autofill-Informationen. Anders als ältere Stealer, die lokal entschlüsseln, überträgt Storm alles verschlüsselt auf die Server des Angreifers. Dann folgen die Messaging-Apps: Telegram, Signal, Discord. Jede Unterhaltung, jede Mediendatei wird analysiert, Screenshots still im Arbeitsspeicher erstellt – selbst mehrere Monitore werden erfasst. Schließlich zielen die Module auf Krypto-Wallets ab: Browser-Extensions und Desktop-Apps gleichermaßen.

Merke: Moderne Stealer greifen nicht nur Passwörter, sondern komplette digitale Identitäten ab. Serverseitige Entschlüsselung macht klassische Endpoint-Security oft wirkungslos.

Die gestohlenen Sessions werden wiederhergestellt. Mit einem Klick auf „Session wiederherstellen“ und einem geografisch passenden Proxy surft der Angreifer nun unter dem Namen des Opfers. Multi-Faktor-Authentifizierung ist irrelevant – die Session-Cookies machen jede Passwortprüfung überflüssig. Storm sortiert automatisch die Konten nach Wertigkeit: Google, Facebook, Twitter/X, cPanel – alles direkt verfügbar. Kein manuelles Replay, keine stundenlange Arbeit – alles läuft wie ein unsichtbares Orchester. Persönliche Dokumente, interne Reports, Screenshots von allen Monitoren, Wallet-Daten – alles wird still im Arbeitsspeicher verarbeitet und zum Panel geschickt. Keine Schreibspuren, kein Alarm.

Der Operator verbindet seinen VPS mit dem Storm-Center. Teamrechte erlauben es, dass unterschiedliche Personen Aufgaben übernehmen: Logs einsehen, Builds erstellen, Cookies wiederherstellen. Ein einziger Lizenzvertrag kann damit ein kleines Cybercrime-Team koordinieren. Automatische Domain-Erkennung priorisiert die wertvollsten Konten – der Operator muss nichts manuell sortieren. Effizienz trifft auf Unsichtbarkeit. Das Panel zeigt IP-Adressen weltweit, Konten aus Google, Facebook, Twitter/X, Crypto.com und Binance. Kreditkarteninformationen, Dokumente, Session-Cookies, alles übersichtlich sortiert. Ein Klick und der Angreif hat vollständigen Zugriff auf ein Konto. Für das Opfer bleibt die Bedrohung nach wie vor unsichtbar.

Am nächsten Morgen bemerkt die IT-Abteilung kleine Unstimmigkeiten: verschobene Termine, gelesene E-Mails. Kein Passwort-Alarm, alles scheinbar normal. Storm läuft unbemerkt weiter, selbst wenn die Lizenz des Operators abläuft.

Hintergrund

Anfang 2026 tauchte auf Untergrund-Cybercrime-Plattformen ein neuer Infostealer namens Storm auf. Er markiert einen Wendepunkt in der Entwicklung von Credential-Diebstahl und verdeutlicht, warum Unternehmen ihre Sicherheitsstrategien dringend anpassen müssen. Für weniger als 1.000 US-Dollar pro Monat erhalten Betreiber einen Stealer, der Browser-Credentials, Session-Cookies und Krypto-Wallets sammelt und alles unauffällig zur Entschlüsselung an den Server des Angreifers sendet.

Umfangreiche Datensammlung

Storm geht weit über das einfache Abgreifen von Credentials hinaus:

• Dokumente aus Benutzerverzeichnissen
• Session-Daten von Telegram, Signal und Discord
• Krypto-Wallets über Browser-Erweiterungen und Desktop-Apps
• Systeminformationen und Screenshots über mehrere Monitore

Die gesamte Datensammlung läuft im Arbeitsspeicher, um die Entdeckung zu minimieren.

Storm wird im Abo-Modell angeboten

• Demo (7 Tage): 300 USD
• Standard-Abo: 900 USD/Monat
• Team-Lizenz: 1.800 USD/Monat für 100 Operatoren und 200 Builds

Bereits installierte Builds laufen weiter, auch wenn das Abo abläuft, was die Nachhaltigkeit des Angriffs sicherstellt.

Storm zeigt eine klare Marktverschiebung

Serverseitige Entschlüsselung und Session-Cookie-Diebstahl ersetzen zunehmend klassische Methoden, wie z. B. das Klauen von Passwörtern. Sicherheitslösungen, die lokal agierende Stealer erkennen, stoßen an ihre Grenzen, da Storm alles auf eigenen Servern verarbeitet.

Ungewöhnliche Logins, lateral movement innerhalb der IT-Umgebung und abweichende Datenzugriffe sind die ersten Indikatoren eines Angriffs, bevor klassische Passwortwarnungen oder MFA-Checks anschlagen.

Takeaways für Unternehmen:

• Awareness-Training und Incident-Response-Prozesse implementieren.
• Monitoring für unübliche Logins, Geo-Analysen und parallele Sessions.
• MFA schützt nicht vor gestohlenen Session-Cookies.
• Anomalien im Nutzerverhalten erkennen, Zugriffsmuster prüfen.
• Endpoint-Security erweitern: Speicher- und Netzwerkanalysen einbeziehen.

Ein einziger kompromittierter Browser kann Unternehmen still und unbemerkt infiltrieren. Cybersecurity ist kein einmaliger Schutz, sondern ein fortlaufender Wettlauf zwischen Angreifern, die ihre Tools perfektionieren, und Unternehmen, die lernen müssen, unsichtbare Bedrohungen zu erkennen.