Un nouvel outil de vol d’informations, baptisé Storm, a émergé récemment sur les réseaux clandestins du cybercrime, indiquant une évolution alarmante dans le domaine du vol de données d’identification. Pour moins de 1 000 dollars par mois, les opérateurs peuvent acquérir un système capable de recueillir des informations d’identification de navigateurs, des cookies de session et des portefeuilles de cryptomonnaies, avant de tout transférer discrètement vers le serveur de l’attaquant pour décryptage.
Pour comprendre les enjeux, il convient de connaître les évolutions récentes. Auparavant, les voleurs décryptaient les données d’identification directement sur la machine de la victime en accédant aux bases de données de navigateurs via les bibliothèques SQLite. Les outils de sécurité sur endpoints ont rapidement appris à détecter cette activité, rendant l’accès aux bases de données de navigateur un signal évident d’alerte.
Avec l’introduction du App-Bound Encryption dans Chrome 127 en juillet 2024, les clés de chiffrement sont désormais liées au navigateur, compliquant encore davantage le décryptage local. Les premières tentatives pour contourner cette mesure ont inclus l’injection dans Chrome ou l’exploitation de son protocole de débogage, mais ces méthodes laissaient encore des traces détectables par les outils de sécurité.
Les développeurs de voleurs ont alors réagi en abandonnant le décryptage local pour transférer des fichiers chiffrés vers leur infrastructure, contournant ainsi la plupart des systèmes de détection de vol d’identifiants.
Storm va plus loin en gérant à la fois les navigateurs basés sur Chromium et Gecko (comme Firefox et Waterfox) côté serveur, là où d’autres outils, comme StealC V2, continuent à traiter Firefox localement. Les données collectées incluent tout le nécessaire pour restaurer des sessions détournées à distance: mots de passe sauvegardés, cookies de session, données d’autocomplétion, tokens de compte Google, informations de carte de crédit et historique de navigation.
Un seul navigateur de salarié compromis peut fournir un accès authentifié à des plateformes de SaaS, des outils internes et des environnements cloud sans activer d’alerte liée au mot de passe.
Storm’s forum listing
Restauration des cookies et détournement de session
Une fois les données de navigateur décryptées, les identifiants volés et les cookies de session sont directement transférés dans le tableau de bord de l’opérateur. Contrairement à d’autres outils où les utilisateurs doivent manuellement reproduire les logs volés, Storm automatise cette étape.
Il suffit d’entrer un Google Refresh Token et un proxy SOCKS5 géographiquement adapté, et le tableau de bord rétablit silencieusement la session authentifiée de la victime.
Cookie restore panel with a completed session hijack
Des analyses antérieures par les Varonis Threat Labs ont déjà traité ce type d’attaque. Leur recherche sur Cookie-Bite a montré comment les cookies de session Azure Entra ID volés rendent la MFA obsolète, permettant ainsi aux attaquants d’accéder de manière persistante à Microsoft 365 sans mot de passe. La restauration de cookies par Storm utilise la même technique sous-jacente, commercialisée comme une fonctionnalité par abonnement.
Collecte et infrastructure
Au-delà des identifiants, Storm s’empare des documents des répertoires utilisateurs, extrait des données de session de Telegram, Signal et Discord, et cible les portefeuilles de cryptomonnaie via des extensions de navigateur et des applications de bureau. Des informations système et des captures d’écran sont effectuées sur plusieurs moniteurs. Tout cela s’exécute en mémoire pour minimiser les chances de détection.
Build configuration with collection modules and file grabber rules
Côté infrastructure, les opérateurs connectent leurs propres serveurs privés virtuels (VPS) aux serveurs centraux de Storm, canalisant les données volées à travers une infrastructure qu’ils contrôlent, détourant ainsi les tentatives de suppression, car les rapports d’abus touchent d’abord le nœud de l’opérateur.
La gestion des équipes permet à plusieurs opérateurs de travailler avec des autorisations spécifiques pour l’accès aux logs, la création de builds et la restauration de cookies, ce qui fait qu’une seule licence Storm peut soutenir une petite opération criminelle avec des responsabilités partagées.
Les règles de détection des domaines étiquettent automatiquement les identifiants volés par service, visibles pour Google, Facebook, Twitter/X et cPanel, facilitant ainsi le filtrage et la priorisation des comptes à exploiter.
Domain detection rules
Campagnes actives et tarification
Au moment de l’analyse, le tableau de logs contenait 1 715 entrées provenant de pays comme l’Inde, les États-Unis, le Brésil, l’Indonésie, l’Équateur et le Vietnam. Il est difficile de déterminer si toutes ces entrées représentent de réelles victimes ou seulement des données de test, mais la diversité des IP, des fournisseurs d’accès et des tailles de données présente un tableau cohérent d’activités en cours.
Les identifiants liés à Google, Facebook, Twitter/X, Coinbase, Binance, Blockchain.com et Crypto.com apparaissent dans plusieurs enregistrements, des informations qui finissent généralement sur les marchés des identifiants, servant à des prises de contrôle de comptes, de la fraude et des intrusions ciblées.
Storm’s log panel
Log entries with cryptocurrency exchange hits
Storm est commercialisé par abonnement, avec des tarifs dégressifs : 300 dollars pour un essai de 7 jours, 900 dollars par mois pour une licence standard et 1 800 dollars par mois pour une licence d’équipe avec 100 opérateurs et 200 builds. Un crypteur est à prévoir en supplément.
Les builds continuent à fonctionner même après l’expiration d’un abonnement, permettant aux voleurs de continuer à collecter des données, indépendamment de l’état de la licence de l’opérateur.
The different prices and packages
Détection des sessions volées
Storm s’inscrit dans un changement plus vaste au sein du marché des voleurs. Le décryptage côté serveur permet aux attaquants d’outrepasser les outils de sécurité dédiés à détecter le décryptage traditionnel sur appareil, et le vol de cookies de session remplace de plus en plus le vol de mots de passe comme principal objectif.
Les identifiants et sessions que des voleurs comme Storm acquièrent sont souvent le prélude à des connexions à des emplacements inconnus, un mouvement latéral et un accès aux données qui rompent des schémas d’utilisation établis.
Indices de compromission
- Pseudonyme du forum : StormStealer
- ID du forum : 221756
- Compte enregistré : 12/12/25
- Version actuelle : v0.0.2.0 (Gunnar)
- Caractéristiques de build : C++ (MSVC/msbuild), ~460 Ko, uniquement Windows
Cet article a été publié à l’origine sur le blog de Varonis.