Der neue Storm Infostealer umgeht 2FA, kapert Accounts per Session-Hijacking und entschlüsselt Daten serverseitig.
Ein neuer Schadcode hebelt bestehende Sicherheitsmechanismen aus. Der Storm Infostealer umgeht 2FA und setzt dabei auf Session Hijacking statt klassischem Passwortdiebstahl. Dadurch wird selbst Zwei-Faktor-Authentifizierung weitgehend wirkungslos.
Vom Passwort zur Session: Storm funktioniert anders
Die nächste Evolutionsstufe der Infostealer ist da. Sie kommt raffinierter und zudem effektiver als ihre Vorgänger daher. „Storm“ heißt das neue Tool aus der Cybercrime-Szene, das aktuell in Untergrundforen gehandelt wird. Laut Varonis Threat Labs verzichtet die Malware auf klassische Angriffsmuster und setzt stattdessen auf serverseitige Entschlüsselung und Session-Hijacking.
Storm zielt nicht mehr primär auf Passwörter, sondern verstärkt auf aktive Sessions. Ein Ansatz, der viele klassische Sicherheitslösungen ins Leere laufen lässt. Damit werden Passwörter bei Angriffen mit gestohlenen Sitzungsdaten zunehmend irrelevant, und selbst eine Zwei-Faktor-Authentifizierung bietet keinen verlässlichen Schutz mehr, wenn aktive Sitzungen übernommen werden.
Mit „Storm“ tauchte Anfang 2026 ein Infostealer auf, der gezielt auf diese Methoden setzt. Statt Zugangsdaten zu knacken, übernimmt er direkt bestehende Sessions. Diese Methode sorgt dafür, dass Angreifer keinen eigenen Login mehr benötigen, sofern sie Zugriff auf gültige Sitzungsdaten haben. Dadurch wird auch die Zwei-Faktor-Authentifizierung umgangen, da sie bereits beim ursprünglichen Login abgeschlossen wurde.
Storm Infostealer umgeht klassische Erkennungsmethoden
Storm gehört zu einer neuen Generation von Malware, die klassische Erkennungsmethoden gezielt unterläuft. Statt Zugangsdaten auszulesen, setzt der Storm Infostealer auf die Übernahme bestehender Sitzungen und umgeht so 2FA. Der entscheidende Unterschied besteht darin, dass die Malware sensible Browserdaten nicht mehr vollständig auf dem Opfergerät entschlüsselt.
Früher mussten Angreifer gespeicherte Browserdaten lokal entschlüsseln. Die Malware griff dafür auf Browserdatenbanken zu, entschlüsselte gespeicherte Passwörter direkt auf dem Opfergerät und exfiltrierte sie anschließend. Dieses Verhalten konnten Endpoint-Security-Lösungen vergleichsweise zuverlässig erkennen.
Storm verlagert diesen Schritt. Die Daten werden nicht mehr lokal entschlüsselt. Die Malware sammelt verschlüsselte Daten wie Passwörter, Cookies sowie Token und überträgt diese direkt an die Server der Angreifer. Erst dort werden die Informationen in Klartext umgewandelt. Für Endpoint-Security erscheint dieses Verhalten wie gewöhnlicher Datenverkehr. Der eigentliche Angriff bleibt dadurch weitgehend unsichtbar.
Der Hintergrund liegt in einer Änderung durch Google. Mit Chrome 127 aus dem Jahr 2024 wurde die sogenannte App Bound Encryption eingeführt, die eine lokale Entschlüsselung erschwert. Storm ist eine direkte Reaktion der Szene auf diese Entwicklung.
Session Hijacking statt Passwortdiebstahl
Entscheidend ist, dass Storm neben Passwörtern auch Sitzungsdaten wie Cookies und Token abgreift. Diese ermöglichen es Angreifern, bestehende Logins zu übernehmen, ohne sich erneut authentifizieren zu müssen. Die Zwei-Faktor-Authentifizierung wird in dem Fall nicht erneut abgefragt, da sie bereits bei der ursprünglichen Anmeldung abgeschlossen wurde.
Der Fokus verschiebt sich damit weg vom Passwort hin zur aktiven Sitzung. Diese Form von Session Hijacking Malware erlaubt es Angreifern, sich direkt in bestehende Accounts einzuklinken, etwa bei Google, Cloud-Diensten oder internen Unternehmenssystemen.
Storm automatisiert diesen Prozess zusätzlich und geht dabei noch einen Schritt weiter. Nach Eingabe eines Refresh Tokens und eines passenden Proxys kann die Sitzung des Opfers direkt im Panel wiederhergestellt werden, ohne dass gestohlene Daten manuell genutzt werden müssen. Der Login wird damit vollständig umgangen.
Storm beschränkt sich nicht auf Zugangsdaten, sondern sammelt systematisch alles, was verwertbar ist. Wie die Analyse von Varonis Threat Labs zeigt, greift die Malware umfassend auf lokale Daten zu und erfasst neben Dokumenten auch Messenger-Sitzungen, Krypto-Wallets sowie umfangreiche System- und Bilddaten. Konkret umfasst das unter anderem:
- Browser-Passwörter und Autofill-Daten,
- Session-Cookies und Authentifizierungs-Token,
- Kreditkarteninformationen,
- Browserverläufe,
- Dokumente aus lokalen Verzeichnissen,
- Messenger-Daten aus Telegram, Signal und Discord,
- Krypto-Wallets aus Browser Erweiterungen und Desktop Anwendungen,
- Screenshots über mehrere Monitore,
- Systeminformationen.
Der gesamte Browser-Datenklau läuft weitgehend im Arbeitsspeicher. Klassische Artefakte auf der Festplatte bleiben aus. Für viele Sicherheitslösungen liefert dies weniger verwertbare Hinweise.
Cybercrime-as-a-Service: Angriff im Abo
Storm ist Teil eines professionellen Ökosystems, in dem die Malware als Dienstleistung angeboten wird, inklusive Infrastruktur und Verwaltungsoberfläche. Das Preismodell ist gestaffelt und reicht von rund 300 Dollar für einen siebentägigen Testzugang über etwa 900 Dollar im Monat bis hin zu 1800 Dollar für Team-Versionen mit erweiterten Funktionen.
Bemerkenswert ist dabei, dass einmal erstellte Malware-Builds auch nach Ablauf des Abonnements weiter funktionieren. Angreifer profitieren somit dauerhaft von bereits ausgebrachter Schadsoftware. Zusätzlich setzen viele Betreiber auf eigene Server, etwa virtuelle private Server, um gestohlene Daten umzuleiten. Dadurch wird die Abschaltung der Infrastruktur erschwert, da zentrale Systeme kaum direkt angreifbar sind und mögliche Strafverfolgungsmaßnahmen zunächst bei den einzelnen Betreibern ansetzen.
Aktive Kampagnen und reale Opfer
Laut Varonis Threat Labs ist Storm bereits im Einsatz. In den Panels der Betreiber wurden über 1700 Datensätze entdeckt, verteilt über mehrere Länder, darunter USA, Indien, Brasilien, Indonesien und Vietnam. Die gestohlenen Daten umfassen unter anderem Google-Konten, Facebook und X sowie Krypto-Börsen wie Binance oder Coinbase.
Solche Informationen landen typischerweise auf einschlägigen Marktplätzen und dienen als Grundlage für weitere Angriffe, etwa Account-Übernahmen oder gezielte Unternehmenszugriffe. In der Folge kommt es zu Anmeldungen von unbekannten Standorten, lateralen Bewegungen im Netzwerk und Datenzugriffen, die etablierte Nutzungsmuster gezielt durchbrechen.
Storm Infostealer umgeht 2FA: Steht das Passwort-Zeitalter vor dem Aus?
Die Malware Storm zeigt, wohin die Entwickung geht. Die Entschlüsselung wird zunehmend vom Endgerät weg verlagert, wodurch Sicherheitssoftware wichtige Erkennungsmerkmale verliert. Zudem verschiebt sich der Fokus von Passwörtern hin zu aktiven Sitzungen, wodurch auch die Wirksamkeit von Mehrfaktor-Authentifizierung abnimmt.
Das eigentliche Problem besteht darin, dass Sicherheitsmechanismen dieser Entwicklung hinterherhinken. Wenn Angreifer keine Passwörter mehr benötigen, verlieren viele Schutzmaßnahmen ihre Wirkung. Im Ergebnis werden Angriffe leiser, schwerer zu erkennen und gleichzeitig effektiver. Bereits ein kompromittierter Browser kann ausreichen, um Zugriff auf komplette digitale Identitäten zu erhalten, einschließlich Cloud-Diensten, SaaS-Anwendungen und internen Systemen.
