【安全资讯】新型信息窃取器“风暴”现身：服务器端解密规避检测，劫持会话危害全球

概要：

网络安全威胁持续演变，一种名为“Storm”的新型信息窃取恶意软件在2026年初现身网络犯罪地下市场，标志着凭证窃取技术的一次重大转变。该恶意软件通过将加密的浏览器数据发送至攻击者控制的服务器进行解密，有效规避了传统终端安全工具的检测，对依赖云服务和SaaS平台的企业构成了严重威胁。

主要内容：

Storm恶意软件的核心创新在于其服务器端解密机制。传统窃取程序通常在受害者设备本地解密浏览器凭证数据库，这容易被终端安全工具基于SQLite库访问行为检测到。然而，随着谷歌在Chrome 127中引入应用绑定加密技术，本地解密变得更为困难。Storm的开发者因此转向服务器端解密，将加密的凭证文件、会话Cookie、自动填充数据等直接传输到其基础设施进行破解，从而消除了终端工具赖以检测的关键遥测数据。

该恶意软件功能全面，不仅针对基于Chromium的浏览器，也支持Firefox等Gecko内核浏览器。其窃取的数据包罗万象，包括保存的密码、会话Cookie、Google账户令牌、信用卡信息及浏览历史。攻击者利用这些数据，特别是会话Cookie，可以在不触发密码警报的情况下，远程恢复并劫持受害者的已验证会话，直接访问其SaaS平台、内部工具和云环境。

在运营模式上，Storm采用订阅制服务，并提供团队管理功能。攻击者可以连接自己的虚拟私有服务器来接收数据，使核心服务器免受打击。其控制面板具备自动化会话恢复能力，并可按服务域名自动分类被盗凭证，方便攻击者筛选高价值目标。目前，其日志面板已显示来自印度、美国、巴西等多国的受害者数据，涉及Google、Facebook及多家主流加密货币交易所的账户凭证。

Storm的出现反映了窃取程序市场的整体趋势：服务器端解密成为规避检测的新手段，而会话劫持已取代密码窃取成为主要攻击目标。这些被盗的凭证和会话往往是后续攻击的起点，可导致账户接管、欺诈以及更具针对性的入侵活动，对企业安全构成持续挑战。