Инфостилер VoidStealer использует новый метод с аппаратными точками останова для обхода защиты Chrome ABE и извлечения мастер-ключа дешифрования данных из памяти браузера без повышения привилегий. — bleepingcomputer.com
Информационный стилер под названием VoidStealer использует новый подход для обхода Application-Bound Encryption (ABE) в Chrome и извлечения мастер-ключа для дешифрования конфиденциальных данных, хранящихся в браузере.
Новый метод более скрытный и полагается на аппаратные точки останова для извлечения v20_master_key, используемого как для шифрования, так и для дешифрования, непосредственно из памяти браузера, не требуя повышения привилегий или внедрения кода.
В отчете Gen Digital, материнской компании, стоящей за брендами Norton, Avast, AVG и Avira, отмечается, что это первый случай, когда в реальных условиях обнаружен инфостилер, использующий подобный механизм.
Компания Google внедрил ABE в Chrome 127, выпущенном в июне 2024 года, в качестве нового механизма защиты файлов cookie и других конфиденциальных данных браузера. Он гарантирует, что мастер-ключ остается зашифрованным на диске и не может быть восстановлен при обычном доступе на уровне пользователя.
Для дешифрования ключа требуется, чтобы служба повышения привилегий Google Chrome Elevation Service, работающая с правами SYSTEM, проверяла запрашивающий процесс.
Однако эта система была обойдена несколькими семействами вредоносного ПО-инфостилеров, и ее работоспособность даже была продемонстрирована в инструментах с открытым исходным кодом. Хотя Google внедрила исправления и улучшения для блокировки этих обходов, по сообщениям, новые версии вредоносного ПО продолжали добиваться успеха, используя другие методы.
«VoidStealer — это первый инфостилер, замеченный в реальных условиях, который использует новую технику обхода Application-Bound Encryption (ABE) на основе отладчика, задействующую аппаратные точки останова для извлечения v20_master_key непосредственно из памяти браузера», — заявляет Войтех Крейса, исследователь угроз в Gen Digital.
VoidStealer — это платформа malware-as-a-service (MaaS), рекламируемая на форумах даркнета как минимум с середины декабря 2025 года. Вредоносное ПО представило новый механизм обхода ABE в версии 2.0.
Кража мастер-ключа
Уловка VoidStealer для извлечения мастер-ключа заключается в том, чтобы нацелиться на короткий момент, когда v20_master_key браузера Chrome кратковременно присутствует в памяти в незашифрованном виде во время операций дешифрования.
В частности, VoidStealer запускает приостановленный и скрытый процесс браузера, подключается к нему как отладчик и ждет загрузки целевой DLL браузера (chrome.dll или msedge.dll).
После загрузки он сканирует DLL на наличие определенной строки и инструкции LEA, которая на нее ссылается, используя адрес этой инструкции в качестве цели для аппаратной точки останова.
Далее он устанавливает эту точку останова для существующих и вновь созданных потоков браузера, ждет ее срабатывания во время запуска, пока браузер дешифрует защищенные данные, затем считывает регистр, содержащий указатель на незашифрованный v20_master_key, и извлекает его с помощью ‘ReadProcessMemory’.
Gen Digital объясняет, что идеальное время для этого — запуск браузера, когда приложение на раннем этапе загружает файлы cookie, защищенные ABE, что вынуждает дешифровать мастер-ключ.
Исследователи пояснили, что VoidStealer, вероятно, не изобрел эту технику, а заимствовал ее из проекта с открытым исходным кодом ‘ElevationKatz’, являющегося частью набора инструментов для дампа файлов cookie ChromeKatz, который демонстрирует уязвимости в Chrome.
Хотя в коде есть некоторые различия, реализация, по-видимому, основана на ElevationKatz, который доступен уже более года.
BleepingComputer связался с Google с просьбой прокомментировать использование этого метода обхода злоумышленниками, но ответ на момент публикации получен не был.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas