A VoidStealer nevű információlopó (infostealer) egy új módszerrel kerüli meg a Chrome Application-Bound Encryption (ABE) védelmi mechanizmusát, és megszerzi a böngészőben tárolt érzékeny adatok visszafejtéséhez szükséges főkulcsot (master key).

Az új módszer során a malware hardver töréspontok segítségével közvetlenül a böngésző memóriájából nyeri ki a titkosításhoz és visszafejtéshez használt v20_master_key kulcsot, anélkül, hogy jogosultságkiterjesztésre (privilege escalation) vagy kódbefecskendezésre (code injection) lenne szükség.

A Gen Digital jelentése szerint ez az első olyan, valós környezetben azonosított infostealer, amely ilyen mechanizmust alkalmaz.

A támadás alapja, hogy a főkulcs a visszafejtési folyamat során rövid ideig szöveges formátumban jelenik meg a memóriában. A malware ezt az időablakot használja ki azáltal, hogy egy felfüggesztett, rejtett böngészőfolyamatot indít, debuggerként csatlakozik hozzá, majd megvárja a célzott DLL (chrome.dll vagy msedge.dll) betöltődését. Ezután a kódban egy meghatározott karakterláncot és az arra mutató LEA utasítást azonosítja, és annak címére hardveres töréspontot állít be. A töréspontot minden releváns böngészőszálon aktiválja, majd az indítási fázis során, amikor a böngésző védett adatokat fejt vissza megvárja annak kiváltását. Ezt követően a malware kiolvassa azt a regisztert, amely a tiszta szöveges főkulcsra mutató pointert tartalmazza, és a ReadProcessMemory segítségével megszerzi a kulcsot.

A kutatók szerint a támadás ideális időpontja a böngésző indulása, amikor az ABE-vel védett sütik betöltése miatt a főkulcs visszafejtése szükségszerűen megtörténik.

A vizsgálatok alapján a VoidStealer nem teljesen saját fejlesztésű módszert alkalmaz. A technika nagy valószínűséggel az ElevationKatz nevű nyílt forráskódú projektből származik, amely a ChromeKatz eszközkészlet részeként ismerteti a böngésző gyengeségeit.

A Google a Chrome 127-es verziójában, 2024 júniusában vezette be az ABE-t a sütik és egyéb érzékeny böngészőadatok védelmére. A megoldás biztosítja, hogy a főkulcs titkosított formában maradjon a lemezen, és hagyományos felhasználói jogosultságokkal ne legyen hozzáférhető. A visszafejtéshez a SYSTEM jogosultsággal futó Google Chrome Elevation Service ellenőrzése szükséges.

Ennek ellenére az ABE védelmét több malware-család is sikeresen megkerülte. Bár a Google folyamatosan javítja a védelmet, az újabb támadások alternatív technikákkal továbbra is eredményesek.

A BleepingComputer megkereste a Google-t az ügyben, azonban a cikk publikálásig nem érkezett hivatalos válasz.