VoidStealer omija zabezpieczenia Chrome i wykrada klucz główny z pamięci przeglądarki - Security Bez Tabu

VoidStealer omija zabezpieczenia Chrome i wykrada klucz główny z pamięci przeglądarki

Cybersecurity news

Wprowadzenie do problemu / definicja

VoidStealer to złośliwe oprogramowanie klasy infostealer, zaprojektowane do kradzieży danych przechowywanych w przeglądarkach internetowych. Najnowsze obserwacje pokazują, że zagrożenie potrafi obejść mechanizm Application-Bound Encryption wdrożony w Google Chrome, którego celem było utrudnienie przechwytywania kluczy szyfrujących i ochrony wrażliwych danych użytkownika.

W praktyce oznacza to, że nawet nowoczesne zabezpieczenia przeglądarki nie gwarantują pełnej ochrony, jeśli atakujący potrafi przechwycić sekret w krótkim momencie jego obecności w pamięci operacyjnej. To właśnie na takim podejściu opiera się nowa technika przypisywana VoidStealerowi.

W skrócie

Badacze opisali metodę, w której VoidStealer wykorzystuje funkcje debuggera oraz sprzętowe breakpointy do przechwycenia klucza v20_master_key w chwili, gdy przeglądarka przetwarza go w pamięci. Atak nie wymaga klasycznego wstrzykiwania kodu do procesu ani eskalacji uprawnień, co istotnie utrudnia wykrycie.

  • malware omija ochronę ABE w Chrome i potencjalnie także w przeglądarkach opartych na tym samym modelu,
  • sekret jest przechwytywany dynamicznie z pamięci, a nie pozyskiwany statycznie z dysku,
  • technika została powiązana z wersją 2.0 platformy VoidStealer oferowanej w modelu malware-as-a-service,
  • przejęcie klucza otwiera drogę do odszyfrowania cookies, zapisanych haseł i innych lokalnych danych uwierzytelniających.

Kontekst / historia

Google wprowadziło Application-Bound Encryption w Chrome 127 w 2024 roku jako odpowiedź na falę infostealerów przechwytujących dane z przeglądarek na systemie Windows. Mechanizm miał powiązać proces odszyfrowywania z bardziej zaufanym kontekstem, tak aby zwykły proces użytkownika nie mógł łatwo odzyskać materiału kryptograficznego.

Zmiana podniosła poprzeczkę dla cyberprzestępców, ale nie zatrzymała rozwoju technik ofensywnych. Zamiast koncentrować się wyłącznie na plikach przechowywanych na dysku, twórcy malware zaczęli analizować sam moment użycia klucza przez przeglądarkę. VoidStealer jest przykładem tej ewolucji, ponieważ przenosi ciężar ataku z warstwy statycznej do dynamicznej obserwacji procesu.

To ważny trend także z perspektywy obrońców. Współczesne kampanie nie zawsze próbują łamać zabezpieczenia wprost. Coraz częściej wykorzystują legalne zachowanie aplikacji i krótkie okno czasowe, w którym tajny materiał pojawia się w pamięci w postaci jawnej.

Analiza techniczna

Opisywana technika polega na uruchomieniu ukrytego procesu przeglądarki w stanie wstrzymanym, a następnie podpięciu się do niego jako debugger. Po załadowaniu odpowiedniej biblioteki malware wyszukuje charakterystyczny ciąg i wiąże go z konkretną instrukcją wykonywaną podczas operacji odszyfrowywania danych przeglądarki.

Następnie ustawiane są sprzętowe breakpointy w istniejących i nowo tworzonych wątkach procesu. Gdy podczas startu przeglądarka rozpoczyna przetwarzanie chronionych danych, aktywowana zostaje ścieżka wykonania, w której klucz v20_master_key pojawia się chwilowo w pamięci jawnej. W tym momencie złośliwe oprogramowanie odczytuje odpowiedni rejestr procesora, uzyskuje wskaźnik do klucza i pobiera zawartość pamięci procesu.

Z perspektywy bezpieczeństwa szczególnie groźne są trzy elementy tej metody. Po pierwsze, nie ma potrzeby stosowania klasycznego code injection, więc część tradycyjnych sygnałów detekcyjnych może w ogóle się nie pojawić. Po drugie, atak nie wymaga podnoszenia uprawnień, ponieważ wykorzystuje legalny cykl odszyfrowywania danych przez przeglądarkę. Po trzecie, całe przechwycenie odbywa się w bardzo krótkim przedziale czasu, co ogranicza szanse wykrycia przez uproszczone mechanizmy monitorujące.

Analiza wskazuje również, że metoda może rozwijać wcześniejsze publicznie znane koncepcje dotyczące słabości ochrony danych przeglądarkowych. To pokazuje, jak szybko techniki prezentowane w badaniach bezpieczeństwa mogą zostać zaadaptowane przez operatorów aktywnych kampanii cyberprzestępczych.

Konsekwencje / ryzyko

Najważniejszym skutkiem powodzenia ataku jest odzyskanie klucza głównego używanego przez przeglądarkę do ochrony poufnych danych. Po jego przejęciu operator malware może odszyfrować cookies sesyjne, zapisane loginy, dane formularzy oraz inne lokalnie przechowywane sekrety.

Dla użytkowników indywidualnych oznacza to ryzyko przejęcia kont i obejścia części mechanizmów ochronnych opartych na aktywnej sesji. W przypadku organizacji konsekwencje są zwykle znacznie poważniejsze. Skradzione cookies i dane logowania mogą umożliwić nieautoryzowany dostęp do poczty, narzędzi SaaS, paneli administracyjnych, środowisk wsparcia, a nawet zasobów chmurowych.

Infostealer staje się w takim scenariuszu nie tylko narzędziem kradzieży danych, ale także punktem wejścia do dalszych etapów ataku. Może prowadzić do ruchu bocznego, oszustw finansowych, eskalacji działań przestępczych lub wdrożenia kolejnych ładunków malware. Dodatkowym problemem jest model malware-as-a-service, który ułatwia szybkie upowszechnianie zaawansowanych technik w szerszym ekosystemie przestępczym.

Rekomendacje

Organizacje nie powinny zakładać, że sama aktualizacja przeglądarki eliminuje ryzyko związane z nowoczesnymi infostealerami. W przypadku technik pamięciowych konieczne jest monitorowanie zachowania procesów oraz wykrywanie anomalii wokół debugowania i dostępu do pamięci przeglądarek.

  • utrzymywać aktualne wersje przeglądarek, systemów operacyjnych i narzędzi EDR,
  • wdrożyć kontrolę aplikacji ograniczającą uruchamianie nieautoryzowanego oprogramowania,
  • monitorować podejrzane operacje debugowania procesów chrome.exe i msedge.exe,
  • korelować telemetrię z uruchamianiem ukrytych lub wstrzymanych instancji przeglądarek,
  • wykrywać i blokować loadery, droppery oraz kampanie dystrybucji infostealerów,
  • stosować silne MFA tam, gdzie możliwe jest ograniczenie skutków przejęcia sesji,
  • po incydencie szybko wygaszać sesje, resetować hasła i rotować poświadczenia,
  • izolować zainfekowane stacje robocze i prowadzić triage pamięci oraz procesów.

Z punktu widzenia reagowania na incydenty kluczowe jest założenie, że wykrycie infostealera może oznaczać przejęcie aktywnych sesji użytkownika. Samo usunięcie malware nie powinno być traktowane jako zakończenie incydentu. Niezbędna jest analiza logów dostępu, unieważnienie tokenów sesyjnych oraz sprawdzenie, czy napastnik nie uzyskał trwałego dostępu dodatkowymi metodami.

Podsumowanie

VoidStealer pokazuje, że obejście nowoczesnych zabezpieczeń przeglądarki nie musi polegać na łamaniu kryptografii. Wystarczy precyzyjne wykorzystanie chwili, w której klucz szyfrujący pojawia się w pamięci podczas legalnej operacji. To znacząco podnosi poziom zagrożenia ze strony infostealerów i utrudnia ich wykrywanie klasycznymi metodami.

Dla zespołów bezpieczeństwa jest to wyraźny sygnał, że ochrona danych przeglądarkowych wymaga szerszego spojrzenia niż tylko aktualizacja oprogramowania. Coraz większe znaczenie ma obserwacja zachowania procesów, analiza pamięci oraz szybka reakcja na symptomy kradzieży sesji i poświadczeń.

Źródła

  • https://www.bleepingcomputer.com/news/security/voidstealer-malware-steals-chrome-master-key-via-debugger-trick/
  • https://security.googleblog.com/2024/07/improving-security-of-chrome-cookies-on.html
  • https://www.gendigital.com/blog/insights/research/voidstealer-chrome-abe-bypass