Nowy król złodziei: VoidStealer łamie zabezpieczenia Chrome sprytnym trikiem

Zabezpieczenia Google Chrome miały być nie do przebicia, ale hakerzy właśnie znaleźli na nie sposób, który mrozi krew w żyłach specjalistów od cyberbezpieczeństwa. Malware VoidStealer jako pierwszy na świecie wykorzystuje luki w mechanizmie Application-Bound Encryption (ABE), wyciągając klucze szyfrujące bezpośrednio z pamięci przeglądarki. To nowa era ataków typu infostealer, przed którymi niezwykle trudno się obronić.

VoidStealer i koniec mitu bezpiecznego Chrome

Google wprowadziło mechanizm Application-Bound Encryption (ABE) w wersji Chrome 127 (czerwiec 2024), aby raz na zawsze ukrócić kradzież haseł i ciasteczek. Teoretycznie klucz główny (v20_master_key) powinien być bezpieczny, ponieważ jego odszyfrowanie wymaga uprawnień systemowych (usługa Google Chrome Elevation Service). Niestety, rzeczywistość okazała się brutalna.

VoidStealer, nowa gwiazda na czarnorynkowym niebie Malware-as-a-Service (MaaS), udowodnił, że zabezpieczenia te można obejść bez eskalacji uprawnień czy skomplikowanego wstrzykiwania kodu. Według raportu ekspertów z Gen Digital (właściciela marek Norton i Avast), jest to pierwszy przypadek użycia tak wyrafinowanej techniki „w dziczy”.

Pułapka w pamięci: Jak działa technika debuggera?

Metoda stosowana przez VoidStealer 2.0 jest niezwykle subtelna i opiera się na tzw. hardware breakpoints (sprzętowych punktach przerwania). Zamiast atakować zaszyfrowany plik na dysku, wirus czeka na moment, w którym przeglądarka sama odszyfrowuje swoje dane.

Proces ataku wygląda następująco:

1. Malware uruchamia ukrytą instancję przeglądarki (Chrome lub Edge) w stanie wstrzymania.
2. Podpina się pod nią jako debugger i monitoruje ładowanie bibliotek DLL (chrome.dll).
3. Skanuje kod w poszukiwaniu konkretnych instrukcji procesora, które odpowiadają za operacje na kluczach.
4. Gdy przeglądarka startuje i na ułamek sekundy ładuje czysty, niezaszyfrowany klucz v20_master_key do pamięci RAM, malware „zamraża” proces i odczytuje dane bezpośrednio z rejestrów procesora.

To genialne w swojej prostocie i przerażające, bo dzieje się w ułamku sekundy podczas zwykłego uruchamiania aplikacji.

Dziedzictwo ElevationKatz i słabości Chromium

Choć VoidStealer zbiera teraz laury wśród cyberprzestępców. Badacze sugerują, że autorzy malware’u nie wymyślili tej techniki od zera. Prawdopodobnie zaadaptowali oni rozwiązanie z projektu ElevationKatz (część narzędzi ChromeKatz). Projekt ten od ponad roku służył badaczom do demonstrowania luk w zabezpieczeniach Google, ale teraz stał się gotowym przepisem na skuteczne ataki hakerskie.

Fakt, że silnik Chromium (na którym bazuje też Microsoft Edge) jest podatny na taką manipulację, stawia Google w trudnej sytuacji. Firma wprowadzała już poprawki mające blokować podobne obejścia. Jak widać, kreatywność twórców złośliwego oprogramowania zawsze o krok wyprzedza korporacyjne łaty.

Czy Twoje hasła są bezpieczne?

Pojawienie się VoidStealera to sygnał alarmowy dla wszystkich użytkowników przeglądarek opartych na Chromium. Tradycyjne metody ochrony plików mogą nie wystarczyć, gdy atak następuje bezpośrednio w pamięci operacyjnej komputera. Google na razie milczy w kwestii oficjalnego komentarza, ale możemy spodziewać się kolejnej rundy „wyścigu zbrojeń” między programistami a hakerami. Do tego czasu najlepszą linią obrony pozostaje unikanie podejrzanych plików i korzystanie z menedżerów haseł niezależnych od przeglądarki.