VoidStealer
A Kaspersky elemzése szerint a VoidStealer egy új generációs infostealer, amely képes megkerülni a Google Chrome által 2024-ben bevezetett Application-Bound Encryption (ABE) védelmet, amelynek célja a böngészőben tárolt session cookie-k, jelszavak és egyéb érzékeny adatok védelme volt.
A Chrome titkosítási kulcsát nem egyszerűen a Windows DPAPI védi, hanem egy rendszer-szintű Chrome szolgáltatás ellenőrzi, hogy valóban maga a böngésző kéri-e a kulcs használatát. A modell célja az volt, hogy megakadályozza az infostealereket abban, hogy egyszerűen a felhasználói kontextusból dekódolják a böngésző adatait.
A VoidStealer azonban egy új, debugger-alapú megközelítést használ. Nem privilégium-eszkalációval vagy klasszikus process injectionnel támad, hanem debuggerként csatlakozik a Chrome vagy Edge folyamatához, és hardveres breakpointokat helyez el pontosan ott, ahol a böngésző memóriájában rövid időre plaintext formában megjelenik a v20_master_key.
A malware a DebugActiveProcess, ReadProcessMemory és debug register mechanizmusokat használja arra, hogy a böngésző működését megfigyelje anélkül, hogy közvetlenül módosítaná annak memóriáját. Amikor a Chrome az automatikus bejelentkezéshez vagy credential-kezeléshez dekódolja a titkosítási kulcsot, a VoidStealer ezt az időablakot használja ki, és kiolvassa a memóriából a kulcsot, majd hozzáfér a cookie-khoz és egyéb érzékeny adatokhoz.
A módszer nem igényel SYSTEM jogosultságot és nem használ klasszikus code injection technikát, ezért jóval kisebb detekciós lábnyommal rendelkezik, mint a korábbi ABE bypass megoldások. Ez különösen veszélyessé teszi modern EDR-környezetekben, ahol az injection-alapú viselkedés könnyebben észlelhető.
A VoidStealer jelenleg Chrome és Edge böngészőket céloz, és jól mutatja, hogy a Chromium-alapú böngészők elleni támadások fókusza a klasszikus jelszólopásról egyre inkább a session tokenek és autentikációs kulcsok megszerzésére helyeződik át. A kutatás szerint az ABE jelentősen megnehezítette az infostealerek működését, de nem szüntette meg azt, a támadók egyszerűen a memóriában történő kulcskezelés pillanatát kezdték célba venni.
