Un grupo de cibercriminales ha lanzado un nuevo infostealer denominado "Storm", el cual logra eludir las soluciones de seguridad de endpoint más modernas al trasladar el proceso de descifrado desde el dispositivo de la víctima hacia un servidor remoto.
Detectado por primera vez en foros de la dark web a principios de 2026, este malware opera bajo un modelo de suscripción con un coste inferior a los 1.000 dólares mensuales. Su objetivo principal son las credenciales de los navegadores, las cookies de sesión y las carteras de criptomonedas.
A diferencia de las generaciones anteriores de stealers, que intentaban descifrar los datos localmente mediante librerías SQLite, Storm envía los archivos cifrados directamente a la infraestructura del atacante. Este cambio permite evitar la telemetría que las herramientas de seguridad suelen emplear para detectar accesos no autorizados a los almacenes de credenciales del navegador.
Secuestro automatizado de sesiones
Storm incluye una función integrada para automatizar la restauración de las sesiones secuestradas. Al combinar un Google Refresh Token robado con un proxy SOCKS5 que coincida geográficamente, el panel de control del malware puede volver a autenticarse de forma silenciosa como si fuera la víctima.
Esta capacidad permite a los atacantes acceder a plataformas SaaS, entornos en la nube y herramientas corporativas internas sin necesidad de vulnerar la autenticación de múltiples factores (MFA) mediante una contraseña.
Los investigadores de Varonis Threat Labs señalaron que esta técnica es un reflejo de los ataques "Cookie-Bite" anteriores, en los que el robo de cookies de sesión de Azure Entra ID dejaba inútil el MFA. No obstante, Storm ha convertido este método en un producto comercial bajo un modelo de suscripción.
Más allá de los datos del navegador, el malware recolecta documentos de los directorios de usuario y extrae datos de sesión de aplicaciones de mensajería como Telegram, Signal y Discord. También es capaz de realizar capturas de pantalla y obtener información del sistema en múltiples monitores.
Para evadir a las autoridades, los operadores de Storm utilizan sus propios servidores privados virtuales (VPS) para redirigir los datos robados. Esto garantiza que cualquier reporte de abuso o intento de retirada de contenido afecte únicamente al nodo individual del operador y no al servidor central de comando y control.
