StormStealer
Member
- Messages
- 5
- Reaction score
- 0
- Points
- 1
STORM - is a Stiller developed by a team of professionals for the best consumers. The project is designed for maximum user convenience, fast and efficient, and most importantly safe operation.
Each build is compiled on a real Windows Server system, and each new build is a unique build. Stiller's build is written in C++ Without using standard libraries!Microsoft Visual C++ (msbuild) is used for compilation.
The build time is from 1 to 3 minutes.
The build weight is 460 kb at the time of writing this post, with all the protections and obfuscations.
It runs on Windows
The build is delivered to the panel in an encrypted archive along with the archive password. After compilation, the build is available for download in the dashboard for 7 days.
If the build is uploaded without a crypt to VT or other scanners, the account will be banned forever without the possibility to refund the money and restore the logs! Administrators have special tools for tracking drains.
Proxy server is required for the stiller to work. You can order them from a seller, or add them yourself. To do this, you need to buy a VPS (Ubuntu) and add the login details (ssh) and ssh port in the panel on the Bridges tab, so that the system automatically connects your VPS to the STORM servers.
Build functionality:
Dynamic browser grabbing
Unlike many stealers, which use hard-coded lists of browsers and constantly require updates when new versions become available, Storm uses intelligent dynamic search: The module automatically detects installed browsers by scanning the system for key markers common to all Chromium and Gecko-based browsers. The module finds not only standard installations, but also Portable versions of browsers, as well as overlay applications using the Chromium engine. Thanks to this approach, Storm builds almost any browser, without the need to add it to the config.
Server-Side Browser Processing
Unlike all existing stealers on the market, Storm does not make any SQL queries inside the system, avoiding the use of sqlite and nss libraries. Instead, Storm exports all browser files as is, and all processing (parsing and decryption) takes place on the server side. The module automatically detects the type of encryption, extracts the corresponding master key, and uses it to work with the data. App-Bound Encryption uses its own shellcode, which obtains the key through the built-in Windows functions. This allows you to work with the latest browser versions. All types of encryption used by Chromium browsers of different versions are supported.: classic DPAPI, AES-GCM (from v80+) and the new App-Bound Encryption (ABE).
Important: All decryption is done on the server. The build only extracts the master key and sends it along with the encrypted data.
Databases are never opened on the victim's computer, which minimizes suspicious activity and reduces the risk of detection.
Grabing data from Gecko-based browsers (Server-Side)
Firefox and other Gecko-based browsers use a completely different data storage architecture and encryption system. Storm is fully adapted to these specifics and correctly collects all the necessary files for subsequent decryption of passwords on the server side. The module automatically detects the browser name (Firefox, Waterfox, Pale Moon, and others), and collects all the files needed for decryption on the server. Collection from all user profiles is supported, including additional profiles.
Browser extensions for crypto wallets and Password Managers
A universal module for collecting cryptocurrency wallets and password managers installed as browser extensions. The list of wallets is fully configured via the control panel. You can add any extension that is not available by default in a couple of clicks. The changes are applied instantly, without the need to rebuild the build.
Grabbing Crypto Wallets
A powerful module for collecting desktop applications of cryptocurrency wallets.
Fully customizable via the dashboard - you can add any wallet by specifying the path to its data directory. The expansion of environment variables is supported, which makes the configuration universal for different systems. The module uses a flexible file mask system to filter the collected data. You can specify which files to collect and which to exclude. It is possible to set a file size limit for optimization.
File grabber
One of the most flexible and powerful Storm modules. Allows you to collect any files from any system directories according to custom rules. Each rule contains a search path, file masks to include, masks to exclude, and a file size limit. The module supports complex search rules with different levels of nesting. Built-in protection against duplicate collection - the paths of the read files are cached, which prevents duplicate files from being sent even if the configuration is incorrect. When the grabber is running, nothing is dropped to the disk - the files are assembled entirely in RAM. All files are compressed before sending to minimize network traffic. When configuring the build, it is suggested to use the basic settings.
Grabbing messengers
Stealer supports grab of well-known messengers such as Session, Telegram, Pidgin, Signal, etc. The module supports different search modes to collect not only a regular client, but also mod clients. The advantage of Storm is that it will find any messenger installed in the system, not just in the standard location. The module also supports the collection of all messengers installed in the system, not just one. For example, it will also collect Telegram + AyuGram (or other modified clients)
Discord Tokens
Discord stores access tokens in various locations: Local Storage of browsers, IndexedDB, and other repositories. Storm searches for tokens in all possible sources, which ensures maximum coverage. The module scans the directories of browser profiles and the Discord application, extracts tokens from all found sources.
Types of Discord Tokens grab:
- Basic tokens
- MFA tokens
- Encrypted tokens
Screenshot
The module captures the current desktop state in high quality.
Uses the optimized GDI API to create a screenshot, supports multi-display configurations (captures all connected monitors),
and saves the image in JPEG format with optimal compression to minimize the file size without loss of quality.
The image is created entirely in memory and sent to the server without saving to disk, which eliminates artifacts on the file system.
System information
The module grab detailed information about the system to create a complete machine profile. All data is collected in memory and sent to the server without saving to disk.
Collected data:
- OS version
- Processor architecture
- Processor information (number of cores|number of threads)
- Information about the GPU
- Network adapters (IP address, adapter name, MAC address, gateway, adapter type)
- Information about the launch method (Launch Mode: Disk/Memory, file path if launched from disk)
Loader
A functional non-resident loader for uploading and executing additional files. The loader configuration is fully configurable via the panel and can contain up to 10 files to download.
Each file has a download URL, a path to save to disk, and a file type (exe, dll, ps1). The module saves files to disk using NtAPI, and executes them. For.exe files are used by CreateProcessW with the CREATE_NO_WINDOW flag for hidden launch.
For.dll files are used by LoadLibraryW for standard library loading. For.ps1 files are used by PowerShell with the -exec bypass option to bypass script execution policies. The module supports the expansion of environment variables in paths (for example, %TEMP%, %APPDATA%) and automatic creation of directories if necessary. All files are saved to disk before execution.
Functionality of the admin panel:
Screenshot: https://ibb.co/0yDtvQ8K
A build control panel for adding a place for a build, creating and configuring builds. Here you can set up grabber, loader, and enable/disable collecting Discord, Session, Signal, Telegram, etc.…
Screenshots: https://ibb.co/d02pbk1j, https://ibb.co/WWG84VsM
Gasket control panel for adding gaskets. You can add a gasket yourself or order from a seller.
Screenshots: https://ibb.co/JjPD4kP2у
Domain Detect for tags on logs. You can add your own list of links by inserting a ready-made list, the links should be separated by commas or indented on a new line.
Screenshots: https://ibb.co/gZmVPjGv, https://ibb.co/ZR68wv3q, https://ibb.co/nszSJkBS
Cookie Restore to restore live Google cookies and Access Tokens using Google Refresh tokens. To access the Google account, you must use the same SOCKS5 proxy that was used for recovery.
Screenshots: https://ibb.co/bTp0cDN, https://ibb.co/v4xG69tR
Team The functionality of teams for creating accounts for workers and granting access rights. You can specify who can download logs, who can download builds, etc.
If one of the workers uploads the build to VT or other scanners, the entire account with a non-refundable license and no way to restore logs will be banned!
Screenshot: https://ibb.co/zVws6dkS
The API for commands has not yet been implemented
The crypt is necessary, the build will not work in its pure form!
At the end of the subscription, all logs remain in the dashboard and will be available after the renewal of the tariff, but the builds will continue to work after the license expires.(If you forgot to renew the license, the
strait will remain, but the logs can only be downloaded after the license is renewed - the exceptions are cases when the client did not have time to download the logs due to the fault of the service)
For draining on VT and similar services, ban, ban forever!
The product does not knock on the RU/CIS and will not knock!
CONTACTS:
Linc Adapter
----------
STORM - Стиллер, разработаный командой профессионалов для лучших потребителей. Проект разработан для максимального удобства пользователя, быстрой и эффективной, а главное безопасной работы.
Каждый билд компилируется на реальной системе Windows Server, каждый новый билд - это уникальная сборка. Билд стиллера написан на C++ Без использования стандартных библиотек!
Для компиляции используется Microsoft Visual C++ (msbuild)
Время сборки билда составляет от 1 до 3 минут.
Вес билда составляет 460 кб на момент написания этого поста, со всеми защитами и обфускациями.
Работает на Windows
Билд доставляется в панель в зашифрованном архиве вместе с паролем от архива. После компилирования билд доступен для скачивания в панели в течение 7 суток
Если билд будет залит без крипта на VT или другие сканнеры, аккаунт будет забанен навсегда без возможности вернуть деньги и восстановить логи! Для отслеживания сливов у администраторов есть специальный инструментарий.
Для работы стиллера необходима прокладка. Их можно заказать у селлера, либо добавить самому - для этого нужно купить VPS (Ubuntu) и добавить данные для входа (ssh) и порт ssh в панели на вкладке Bridges, чтобы система автоматически подключила вашу VPS к серверам STORM.
Функционал билда:
Динамический сбор браузеров
В отличие от многих стиллеров, которые используют жестко заданные списки браузеров и постоянно требуют обновления при появлении новых версий, Storm использует интеллектуальный динамический поиск: Модуль автоматически обнаруживает установленные браузеры путем сканирования системы на наличие ключевых маркеров, характерных для всех браузеров на базе Chromium, Gecko. Модуль находит не только стандартные установки, но и Portable версии браузеров, а также оверлейные приложения, использующие Chromium движок. Благодаря такому подходу Storm собирает практически любой браузер, без необходимости добавления в конфиг.
Server-Side Browser Processing
В отличие от всех существующих стиллеров на рынке, Storm не делает никаких SQL запросов внутри системы, избегая использование sqlite и nss библиотек. Вместо этого, Storm экспортирует все файлы браузера как есть, а вся обработка (парсинг и расшифровка) происходит на стороне сервера. Модуль автоматически определяет тип шифрования, извлекает соответствующий мастер-ключ, и использует его для работы с данными. Для App-Bound Encryption используется собственный шеллкод, который получает ключ через встроенные функции Windows. Это позволяет работать с самыми свежими версиями браузеров. Поддерживаются все типы шифрования, используемых Chromium браузерами разных версий: классический DPAPI, AES-GCM (от v80+) и новый App-Bound Encryption (ABE).
Важно: Вся расшифровка производится на сервере. Билд только извлекает мастер-ключ и отправляет его вместе с зашифрованными данными.
Базы данных никогда не открываются на компьютере жертвы, что минимизирует подозрительную активность и снижает риск детекта.
Собираемые данные: История браузера, Автозаполнение форм, Куки файлы (включая сессионные), Токены аккаунтов Google (только Chromium-based браузеры), Данные кредитных карт, Пароли.
Сбор данных Gecko-based браузеров (Server-Side)
Firefox и другие браузеры на базе Gecko используют совершенно другую архитектуру хранения данных и систему шифрования. Storm полностью адаптирован под эту специфику и корректно собирает все необходимые файлы для последующей расшифровки паролей на стороне сервера. Модуль автоматически определяет имя браузера (Firefox, Waterfox, Pale Moon и другие), и собирает все файлы, необходимые для расшифровки на сервере. Поддерживается сбор из всех профилей пользователя, включая дополнительные профили.
Браузерные расширения крипто-кошельков и менеджеров паролей
Универсальный модуль для сбора криптовалютных кошельков и менеджеров паролей, установленных как расширения браузеров. Список кошельков полностью донастраивается через панель управления - вы можете добавить любое расширение которого нет по умолчанию за пару кликов. Изменения применяются мгновенно, без необходимости пересборки билда.
Сбор крипто-кошельков
Мощный модуль для сбора десктопных приложений криптовалютных кошельков.
Полностью донастраиваемый через панель - вы можете добавить любой кошелек, указав путь к его директории с данными. Поддерживается расширение переменных окружения, что делает конфигурацию универсальной для разных систем. Модуль использует гибкую систему масок файлов для фильтрации собираемых данных - вы можете указать, какие файлы собирать, а какие исключить. Есть возможность установить лимит размера файлов для оптимизации.
Файл-граббер
Один из самых гибких и мощных модулей Storm. Позволяет собирать любые файлы из любых директорий системы по настраиваемым правилам. Каждое правило содержит путь для поиска, маски файлов для включения, маски для исключения, лимит размера файлов. Модуль поддерживает сложные правила поиска с разным уровнем вложенности. Встроена защита от сбора дубликатов - пути считанных файлов кешируются, что предотвращает отправку повторяющихся файлов даже при неправильной настройке конфига. При работе граббера на диск ничего не дропается - сборка файлов происходит полностью в оперативной памяти. Все файлы сжимаются перед отправкой для минимизации сетевого трафика. При настройке билда предлагается использовать базовые настройки.
Сбор мессенджеров
Стиллер поддерживает сбор известных месенджеров, таких как Session, Telegram, Pidgin, Signal и др. Модуль поддерживает разные режимы поиска для сбора не только обычного клиента, но и мод клиентов. Преимущество Storm в том, что он найдёт любой мессенджер установленный в системе, а не только в стандартной локации. Также модуль поддерживает сбор всех мессенджеров установленных в системе, а не только одного. Например, он соберет и Telegram + AyuGram (либо другие модифицированные клиенты)
Токены Discord
Discord хранит токены доступа в различных местах: Local Storage браузеров, IndexedDB и других хранилищах. Storm ищет токены во всех возможных источниках, что обеспечивает максимальный охват. Модуль сканирует директории профилей браузеров и приложения Discord, извлекает токены из всех найденных источников.
Типы собираемых токенов Discord:
- Базовые токены
- MFA токены
- Зашифрованные токены
Скриншот экрана
Модуль выполняет захват текущего состояния рабочего стола в высоком качестве.
Использует оптимизированный GDI API для создания снимка экрана, поддерживает мультидисплейные конфигурации (захватывает все подключенные мониторы),
и сохраняет изображение в формате JPEG с оптимальным сжатием для минимизации размера файла без потери качества.
Изображение создается полностью в памяти и отправляется на сервер без сохранения на диск, что исключает артефакты на файловой системе.
Системная информация
Модуль собирает детальную информацию о системе для создания полного профиля машины. Все данные собираются в память и отправляются на сервер без сохранения на диск.
Собираемые данные:
- Версия ОС
- Архитектура процессора
- Информация о процессоре (количество ядер|количество потоков)
- Объем оперативной памяти (в мегабайтах)
- Информация о дисплее
- Информация о GPU
- Сетевые адаптеры (IP адрес, имя адаптера, MAC адрес, gateway, тип адаптера)
- Информация о способе запуска (Launch Mode: Disk/Memory, путь к файлу если запущен с диска)
Все данные отправляются на сервер для создания профиля системы и также обрабатываются на сервере (Server-Side Processing)
Loader
Функциональный нерезидентный лоадер для загрузки и выполнения дополнительных файлов. Конфигурация загрузчика полностью настраивается через панель и может содержать до 10 файлов для загрузки.
Каждый файл имеет URL для загрузки, путь для сохранения на диск, и тип файла (exe, dll, ps1). Модуль сохраняет файлы на диск с помощью NtAPI, и выполняет их. Для .exe файлов используется CreateProcessW с флагом CREATE_NO_WINDOW для скрытого запуска.
Для .dll файлов используется LoadLibraryW для стандартной загрузки библиотеки. Для .ps1 файлов используется PowerShell с параметром -exec bypass для обхода политик выполнения скриптов. Модуль поддерживает расширение переменных окружения в путях (например, %TEMP%, %APPDATA%) и автоматическое создание директорий при необходимости. Все файлы сохраняются на диск перед выполнением.
Функционал админ-панели:
Скрин: https://ibb.co/0yDtvQ8K
Панель управления билдами для добавления места под билд, создания и настройки билдов.
Тут вы можете настроить граббер, лоадер, а также включить/выключить сбор Discord, Session, Signal, Telegram, и др…
Скрины: https://ibb.co/d02k1pbj,
https://ibb.co/WWG84VsM
Панель управления прокладками для добавления прокладок. Можно добавить прокладку самому или заказать у селлера.
Скрины: https://ibb.co/JjPD4kP2у
Domain Detect для меток на логах. Вы можете добавить свой список линков вставив готовый список, линки должны быть разделены через запятую или через отступ на новую строку.
Скрины: https://ibb.co/gZmVPjGv,
https://ibb.co/ZR68wv3q,
https://ibb.co/nszSJkBS
Cookie Restore для восстановления живых куков гугла и Access Token с помощью Refresh токенов гугла. Для доступа в аккаунт гугла необходимо использовать ту же SOCKS5 прокси, что использовалась для восстановления.
Скрин: https://ibb.co/bTp0cDN,
https://ibb.co/v4xG69tR
Team Функционал команд для создания аккаунтов воркерам и выставления прав доступа. Вы можете указать кто может скачивать логи, кто может скачивать билд, и т.д.
Если кто-то из воркеров сольёт билд на VT или другие сканнеры, под бан попадает весь аккаунт с лицензией без возврата и без возможности восстановить логи!
Скрин: https://ibb.co/zVws6dkS
API для команд пока не реализовано
Крипт необходим, в чистом виде билд работать не будет!
По окончанию подписки все логи остаются в панели и будут доступны после продления тарифа, но билды будут продолжать работать и после истечения лицензии. (Если вы забыли продлить лицензию, пролив сохранится, но логи можно будет скачать только после продления лицензии - исключением являются случаи когда клиент не успел скачать логи по вине сервиса)
За слив на VT и подобные сервисы бан, бан навсегда!
Продукт не стучит по РУ/СНГ и стучать не будет!
Тарифы и цены:
Контакты:
stormstealer@exploit.im
Each build is compiled on a real Windows Server system, and each new build is a unique build. Stiller's build is written in C++ Without using standard libraries!Microsoft Visual C++ (msbuild) is used for compilation.
The build time is from 1 to 3 minutes.
The build weight is 460 kb at the time of writing this post, with all the protections and obfuscations.
It runs on Windows
The build is delivered to the panel in an encrypted archive along with the archive password. After compilation, the build is available for download in the dashboard for 7 days.If the build is uploaded without a crypt to VT or other scanners, the account will be banned forever without the possibility to refund the money and restore the logs! Administrators have special tools for tracking drains. Proxy server is required for the stiller to work. You can order them from a seller, or add them yourself. To do this, you need to buy a VPS (Ubuntu) and add the login details (ssh) and ssh port in the panel on the Bridges tab, so that the system automatically connects your VPS to the STORM servers.Build functionality:
Dynamic browser grabbing
Unlike many stealers, which use hard-coded lists of browsers and constantly require updates when new versions become available, Storm uses intelligent dynamic search: The module automatically detects installed browsers by scanning the system for key markers common to all Chromium and Gecko-based browsers. The module finds not only standard installations, but also Portable versions of browsers, as well as overlay applications using the Chromium engine. Thanks to this approach, Storm builds almost any browser, without the need to add it to the config.
Server-Side Browser Processing
Unlike all existing stealers on the market, Storm does not make any SQL queries inside the system, avoiding the use of sqlite and nss libraries. Instead, Storm exports all browser files as is, and all processing (parsing and decryption) takes place on the server side. The module automatically detects the type of encryption, extracts the corresponding master key, and uses it to work with the data. App-Bound Encryption uses its own shellcode, which obtains the key through the built-in Windows functions. This allows you to work with the latest browser versions. All types of encryption used by Chromium browsers of different versions are supported.: classic DPAPI, AES-GCM (from v80+) and the new App-Bound Encryption (ABE).
Important: All decryption is done on the server. The build only extracts the master key and sends it along with the encrypted data.Databases are never opened on the victim's computer, which minimizes suspicious activity and reduces the risk of detection.
Grabing data from Gecko-based browsers (Server-Side)
Firefox and other Gecko-based browsers use a completely different data storage architecture and encryption system. Storm is fully adapted to these specifics and correctly collects all the necessary files for subsequent decryption of passwords on the server side. The module automatically detects the browser name (Firefox, Waterfox, Pale Moon, and others), and collects all the files needed for decryption on the server. Collection from all user profiles is supported, including additional profiles.
Browser extensions for crypto wallets and Password Managers
A universal module for collecting cryptocurrency wallets and password managers installed as browser extensions. The list of wallets is fully configured via the control panel. You can add any extension that is not available by default in a couple of clicks. The changes are applied instantly, without the need to rebuild the build.
Grabbing Crypto Wallets
A powerful module for collecting desktop applications of cryptocurrency wallets.
Fully customizable via the dashboard - you can add any wallet by specifying the path to its data directory. The expansion of environment variables is supported, which makes the configuration universal for different systems. The module uses a flexible file mask system to filter the collected data. You can specify which files to collect and which to exclude. It is possible to set a file size limit for optimization.
File grabber
One of the most flexible and powerful Storm modules. Allows you to collect any files from any system directories according to custom rules. Each rule contains a search path, file masks to include, masks to exclude, and a file size limit. The module supports complex search rules with different levels of nesting. Built-in protection against duplicate collection - the paths of the read files are cached, which prevents duplicate files from being sent even if the configuration is incorrect. When the grabber is running, nothing is dropped to the disk - the files are assembled entirely in RAM. All files are compressed before sending to minimize network traffic. When configuring the build, it is suggested to use the basic settings.
Grabbing messengers
Stealer supports grab of well-known messengers such as Session, Telegram, Pidgin, Signal, etc. The module supports different search modes to collect not only a regular client, but also mod clients. The advantage of Storm is that it will find any messenger installed in the system, not just in the standard location. The module also supports the collection of all messengers installed in the system, not just one. For example, it will also collect Telegram + AyuGram (or other modified clients)
Discord Tokens
Discord stores access tokens in various locations: Local Storage of browsers, IndexedDB, and other repositories. Storm searches for tokens in all possible sources, which ensures maximum coverage. The module scans the directories of browser profiles and the Discord application, extracts tokens from all found sources.
Types of Discord Tokens grab:
- Basic tokens
- MFA tokens
- Encrypted tokens
Screenshot
The module captures the current desktop state in high quality.
Uses the optimized GDI API to create a screenshot, supports multi-display configurations (captures all connected monitors),
and saves the image in JPEG format with optimal compression to minimize the file size without loss of quality.
The image is created entirely in memory and sent to the server without saving to disk, which eliminates artifacts on the file system.
System information
The module grab detailed information about the system to create a complete machine profile. All data is collected in memory and sent to the server without saving to disk.
Collected data:
- OS version
- Processor architecture
- Processor information (number of cores|number of threads)
- The amount of RAM (in megabytes)
- Information about the display
- Information about the GPU
- Network adapters (IP address, adapter name, MAC address, gateway, adapter type)
- Information about the launch method (Launch Mode: Disk/Memory, file path if launched from disk)
Loader
A functional non-resident loader for uploading and executing additional files. The loader configuration is fully configurable via the panel and can contain up to 10 files to download.
Each file has a download URL, a path to save to disk, and a file type (exe, dll, ps1). The module saves files to disk using NtAPI, and executes them. For.exe files are used by CreateProcessW with the CREATE_NO_WINDOW flag for hidden launch.
For.dll files are used by LoadLibraryW for standard library loading. For.ps1 files are used by PowerShell with the -exec bypass option to bypass script execution policies. The module supports the expansion of environment variables in paths (for example, %TEMP%, %APPDATA%) and automatic creation of directories if necessary. All files are saved to disk before execution.
Functionality of the admin panel:
Screenshot: https://ibb.co/0yDtvQ8K
A build control panel for adding a place for a build, creating and configuring builds. Here you can set up grabber, loader, and enable/disable collecting Discord, Session, Signal, Telegram, etc.…
Screenshots: https://ibb.co/d02pbk1j, https://ibb.co/WWG84VsM
Gasket control panel for adding gaskets. You can add a gasket yourself or order from a seller.
Screenshots: https://ibb.co/JjPD4kP2у
Domain Detect for tags on logs. You can add your own list of links by inserting a ready-made list, the links should be separated by commas or indented on a new line.
Screenshots: https://ibb.co/gZmVPjGv, https://ibb.co/ZR68wv3q, https://ibb.co/nszSJkBS
Cookie Restore to restore live Google cookies and Access Tokens using Google Refresh tokens. To access the Google account, you must use the same SOCKS5 proxy that was used for recovery.
Screenshots: https://ibb.co/bTp0cDN, https://ibb.co/v4xG69tR
Team The functionality of teams for creating accounts for workers and granting access rights. You can specify who can download logs, who can download builds, etc.
If one of the workers uploads the build to VT or other scanners, the entire account with a non-refundable license and no way to restore logs will be banned!
Screenshot: https://ibb.co/zVws6dkS
The API for commands has not yet been implemented
The crypt is necessary, the build will not work in its pure form!
At the end of the subscription, all logs remain in the dashboard and will be available after the renewal of the tariff, but the builds will continue to work after the license expires.(If you forgot to renew the license, the
strait will remain, but the logs can only be downloaded after the license is renewed - the exceptions are cases when the client did not have time to download the logs due to the fault of the service)
For draining on VT and similar services, ban, ban forever!
The product does not knock on the RU/CIS and will not knock!Period | Price | Description | Title |
| 30 days | 350 USD | Standard 1-month license (Includes standard technical support - assistance in all aspects) | Standart |
| 30 days | 700 USD | The team license for teams includes 100 places for teams and 200 places for builds | Team |
CONTACTS:
Linc Adapter
----------
STORM - Стиллер, разработаный командой профессионалов для лучших потребителей. Проект разработан для максимального удобства пользователя, быстрой и эффективной, а главное безопасной работы.
Каждый билд компилируется на реальной системе Windows Server, каждый новый билд - это уникальная сборка. Билд стиллера написан на C++ Без использования стандартных библиотек!
Для компиляции используется Microsoft Visual C++ (msbuild)
Время сборки билда составляет от 1 до 3 минут.Вес билда составляет 460 кб на момент написания этого поста, со всеми защитами и обфускациями.
Работает на Windows
Билд доставляется в панель в зашифрованном архиве вместе с паролем от архива. После компилирования билд доступен для скачивания в панели в течение 7 суток Если билд будет залит без крипта на VT или другие сканнеры, аккаунт будет забанен навсегда без возможности вернуть деньги и восстановить логи! Для отслеживания сливов у администраторов есть специальный инструментарий. Для работы стиллера необходима прокладка. Их можно заказать у селлера, либо добавить самому - для этого нужно купить VPS (Ubuntu) и добавить данные для входа (ssh) и порт ssh в панели на вкладке Bridges, чтобы система автоматически подключила вашу VPS к серверам STORM.Функционал билда:
Динамический сбор браузеровВ отличие от многих стиллеров, которые используют жестко заданные списки браузеров и постоянно требуют обновления при появлении новых версий, Storm использует интеллектуальный динамический поиск: Модуль автоматически обнаруживает установленные браузеры путем сканирования системы на наличие ключевых маркеров, характерных для всех браузеров на базе Chromium, Gecko. Модуль находит не только стандартные установки, но и Portable версии браузеров, а также оверлейные приложения, использующие Chromium движок. Благодаря такому подходу Storm собирает практически любой браузер, без необходимости добавления в конфиг.
Server-Side Browser ProcessingВ отличие от всех существующих стиллеров на рынке, Storm не делает никаких SQL запросов внутри системы, избегая использование sqlite и nss библиотек. Вместо этого, Storm экспортирует все файлы браузера как есть, а вся обработка (парсинг и расшифровка) происходит на стороне сервера. Модуль автоматически определяет тип шифрования, извлекает соответствующий мастер-ключ, и использует его для работы с данными. Для App-Bound Encryption используется собственный шеллкод, который получает ключ через встроенные функции Windows. Это позволяет работать с самыми свежими версиями браузеров. Поддерживаются все типы шифрования, используемых Chromium браузерами разных версий: классический DPAPI, AES-GCM (от v80+) и новый App-Bound Encryption (ABE).
Важно: Вся расшифровка производится на сервере. Билд только извлекает мастер-ключ и отправляет его вместе с зашифрованными данными.Базы данных никогда не открываются на компьютере жертвы, что минимизирует подозрительную активность и снижает риск детекта.
Собираемые данные: История браузера, Автозаполнение форм, Куки файлы (включая сессионные), Токены аккаунтов Google (только Chromium-based браузеры), Данные кредитных карт, Пароли.
Сбор данных Gecko-based браузеров (Server-Side)Firefox и другие браузеры на базе Gecko используют совершенно другую архитектуру хранения данных и систему шифрования. Storm полностью адаптирован под эту специфику и корректно собирает все необходимые файлы для последующей расшифровки паролей на стороне сервера. Модуль автоматически определяет имя браузера (Firefox, Waterfox, Pale Moon и другие), и собирает все файлы, необходимые для расшифровки на сервере. Поддерживается сбор из всех профилей пользователя, включая дополнительные профили.
Браузерные расширения крипто-кошельков и менеджеров паролейУниверсальный модуль для сбора криптовалютных кошельков и менеджеров паролей, установленных как расширения браузеров. Список кошельков полностью донастраивается через панель управления - вы можете добавить любое расширение которого нет по умолчанию за пару кликов. Изменения применяются мгновенно, без необходимости пересборки билда.
Сбор крипто-кошельковМощный модуль для сбора десктопных приложений криптовалютных кошельков.
Полностью донастраиваемый через панель - вы можете добавить любой кошелек, указав путь к его директории с данными. Поддерживается расширение переменных окружения, что делает конфигурацию универсальной для разных систем. Модуль использует гибкую систему масок файлов для фильтрации собираемых данных - вы можете указать, какие файлы собирать, а какие исключить. Есть возможность установить лимит размера файлов для оптимизации.
Файл-грабберОдин из самых гибких и мощных модулей Storm. Позволяет собирать любые файлы из любых директорий системы по настраиваемым правилам. Каждое правило содержит путь для поиска, маски файлов для включения, маски для исключения, лимит размера файлов. Модуль поддерживает сложные правила поиска с разным уровнем вложенности. Встроена защита от сбора дубликатов - пути считанных файлов кешируются, что предотвращает отправку повторяющихся файлов даже при неправильной настройке конфига. При работе граббера на диск ничего не дропается - сборка файлов происходит полностью в оперативной памяти. Все файлы сжимаются перед отправкой для минимизации сетевого трафика. При настройке билда предлагается использовать базовые настройки.
Сбор мессенджеровСтиллер поддерживает сбор известных месенджеров, таких как Session, Telegram, Pidgin, Signal и др. Модуль поддерживает разные режимы поиска для сбора не только обычного клиента, но и мод клиентов. Преимущество Storm в том, что он найдёт любой мессенджер установленный в системе, а не только в стандартной локации. Также модуль поддерживает сбор всех мессенджеров установленных в системе, а не только одного. Например, он соберет и Telegram + AyuGram (либо другие модифицированные клиенты)
Токены DiscordDiscord хранит токены доступа в различных местах: Local Storage браузеров, IndexedDB и других хранилищах. Storm ищет токены во всех возможных источниках, что обеспечивает максимальный охват. Модуль сканирует директории профилей браузеров и приложения Discord, извлекает токены из всех найденных источников.
Типы собираемых токенов Discord:
- Базовые токены
- MFA токены
- Зашифрованные токены
Скриншот экранаМодуль выполняет захват текущего состояния рабочего стола в высоком качестве.
Использует оптимизированный GDI API для создания снимка экрана, поддерживает мультидисплейные конфигурации (захватывает все подключенные мониторы),
и сохраняет изображение в формате JPEG с оптимальным сжатием для минимизации размера файла без потери качества.
Изображение создается полностью в памяти и отправляется на сервер без сохранения на диск, что исключает артефакты на файловой системе.
Системная информацияМодуль собирает детальную информацию о системе для создания полного профиля машины. Все данные собираются в память и отправляются на сервер без сохранения на диск.
Собираемые данные:
- Версия ОС
- Архитектура процессора
- Информация о процессоре (количество ядер|количество потоков)
- Объем оперативной памяти (в мегабайтах)
- Информация о дисплее
- Информация о GPU
- Сетевые адаптеры (IP адрес, имя адаптера, MAC адрес, gateway, тип адаптера)
- Информация о способе запуска (Launch Mode: Disk/Memory, путь к файлу если запущен с диска)
Все данные отправляются на сервер для создания профиля системы и также обрабатываются на сервере (Server-Side Processing)
LoaderФункциональный нерезидентный лоадер для загрузки и выполнения дополнительных файлов. Конфигурация загрузчика полностью настраивается через панель и может содержать до 10 файлов для загрузки.
Каждый файл имеет URL для загрузки, путь для сохранения на диск, и тип файла (exe, dll, ps1). Модуль сохраняет файлы на диск с помощью NtAPI, и выполняет их. Для .exe файлов используется CreateProcessW с флагом CREATE_NO_WINDOW для скрытого запуска.
Для .dll файлов используется LoadLibraryW для стандартной загрузки библиотеки. Для .ps1 файлов используется PowerShell с параметром -exec bypass для обхода политик выполнения скриптов. Модуль поддерживает расширение переменных окружения в путях (например, %TEMP%, %APPDATA%) и автоматическое создание директорий при необходимости. Все файлы сохраняются на диск перед выполнением.
Функционал админ-панели:
Скрин: https://ibb.co/0yDtvQ8K
Панель управления билдами для добавления места под билд, создания и настройки билдов.Тут вы можете настроить граббер, лоадер, а также включить/выключить сбор Discord, Session, Signal, Telegram, и др…
Скрины: https://ibb.co/d02k1pbj,
https://ibb.co/WWG84VsM
Панель управления прокладками для добавления прокладок. Можно добавить прокладку самому или заказать у селлера.Скрины: https://ibb.co/JjPD4kP2у
Domain Detect для меток на логах. Вы можете добавить свой список линков вставив готовый список, линки должны быть разделены через запятую или через отступ на новую строку.Скрины: https://ibb.co/gZmVPjGv,
https://ibb.co/ZR68wv3q,
https://ibb.co/nszSJkBS
Cookie Restore для восстановления живых куков гугла и Access Token с помощью Refresh токенов гугла. Для доступа в аккаунт гугла необходимо использовать ту же SOCKS5 прокси, что использовалась для восстановления.Скрин: https://ibb.co/bTp0cDN,
https://ibb.co/v4xG69tR
Team Функционал команд для создания аккаунтов воркерам и выставления прав доступа. Вы можете указать кто может скачивать логи, кто может скачивать билд, и т.д. Если кто-то из воркеров сольёт билд на VT или другие сканнеры, под бан попадает весь аккаунт с лицензией без возврата и без возможности восстановить логи!Скрин: https://ibb.co/zVws6dkS
API для команд пока не реализовано Крипт необходим, в чистом виде билд работать не будет! По окончанию подписки все логи остаются в панели и будут доступны после продления тарифа, но билды будут продолжать работать и после истечения лицензии. (Если вы забыли продлить лицензию, пролив сохранится, но логи можно будет скачать только после продления лицензии - исключением являются случаи когда клиент не успел скачать логи по вине сервиса) За слив на VT и подобные сервисы бан, бан навсегда! Продукт не стучит по РУ/СНГ и стучать не будет!Тарифы и цены:
Срок | Цена | Описание | Название | |
30 суток | 350 USD |
| Стандарт | |
30 суток | 700 USD |
| Team |
Контакты:
stormstealer@exploit.im
Last edited by a moderator:
