NERDMANNeuer Infostealer „Storm" knackt eure Sessions
Passwort sicher? MFA aktiv? Juckt „Storm" nicht. Der neue Infostealer klaut Browser-Daten und entschlüsselt sie erst auf den Servern der Angreifer — ein Trick, der klassische Schutzmaßnahmen alt aussehen lässt.
So funktioniert der Angriff
Normale Infostealer entschlüsseln geklaute Browser-Daten direkt auf dem Rechner des Opfers. „Storm" macht das anders. Die Malware schickt die verschlüsselten Rohdaten an externe Server. Dort wird entschlüsselt.
Der Vorteil für die Angreifer: Lokale Sicherheits-Tools sehen keine verdächtige Entschlüsselung. Kein Alarm, kein Flag, kein Verdacht.
Was geklaut wird
- Sessions:** Aktive Browser-Sitzungen werden übernommen — ohne Passwort, ohne MFA-Code
- Cookies:** Alles, was der Browser gespeichert hat
- Credentials:** Login-Daten aus dem Browser-Tresor
- Methode:** Server-side Decryption statt lokaler Entschlüsselung
💡 Was das bedeutet
Session-Hijacking ist nicht neu. Aber die Verlagerung der Entschlüsselung auf Angreifer-Server ist ein cleverer Move. Endpoint-Security-Tools, die nach lokalen Entschlüsselungs-Versuchen suchen, greifen ins Leere. Wer sich auf Passwort plus MFA verlässt und denkt, damit sei alles sicher — liegt falsch.
✅ Pro
- Technisch saubere Analyse von Varonis
- Zeigt echte Schwachstelle in gängigen Schutzkonzepten
❌ Con
- Bisher kein dokumentierter Großschaden
- Verbreitung und Ausmaß unklar
- Kein konkreter Bezug zu KI-gestützten Angriffen
Einordnung
„Storm" ist kein Massenphänomen — noch nicht. Die Technik ist aber ein Weckruf für alle, die glauben, MFA allein reicht. Session-Tokens sind das neue Gold für Angreifer.
