Os criadores do Trojan VoidStealer descobriram uma maneira de burlar a criptografia vinculada a aplicativos (ABE) do Google para roubar credenciais do navegador Chrome e seus derivados para Windows, observaram especialistas da Kaspersky Lab.
Fonte da imagem: kaspersky.ru
Em julho de 2024, o Google introduziu a tecnologia ABE para proteger dados no Chrome e em outros navegadores da mesma plataforma, incluindo Microsoft Edge, Opera, Vivaldi e Brave. Quando o Chrome é executado no macOS da Apple, o serviço Keychain é responsável pela proteção de dados; o Linux também possui ferramentas semelhantes. No entanto, no Windows, as ferramentas da API de Proteção de Dados (DPAPI) não fornecem proteção suficiente para cookies e senhas contra o acesso de aplicativos maliciosos que se disfarçam de solicitações legítimas do usuário.
A tecnologia ABE foi projetada para resolver esse problema — ela permite a descriptografia apenas pelo próprio aplicativo Chrome, e não por qualquer outro processo, mesmo que seja executado em nome do usuário. Na prática, essa proteção foi rapidamente violada, resultando nos Trojans Meduza Stealer, Whitesnake, Lumma Stealer e Lumar, que coletaram com sucesso cookies e outros dados do Chrome. Pesquisadores de segurança cibernética também desenvolveram seus próprios métodos para fazer isso. Alex Hagenah, por exemplo, propôs um esquema que combina a execução de código sem arquivo diretamente na memória, injeção de processos, chamadas diretas ao sistema e outros métodos furtivos. No ano passado, foi desenvolvida uma técnica de ataque C4 que permite até mesmo a um usuário com poucos privilégios obter o mesmo resultado.
Os desenvolvedores do Trojan VoidStealer propuseram um novo esquema. A etapa crucial ocorre quando o Chrome recupera a chave de criptografia em texto não criptografado da memória do navegador para descriptografar os dados.O malware se conecta a ele disfarçado de depurador — um mecanismo legítimo de solução de problemas — detecta o momento em que a descriptografia começa e pausa o processo.Como resultado, o atacante extrai a chave de criptografia diretamente da memória, burlando assim as medidas de segurança. O surgimento desse esquema confirma que os navegadores estão se tornando um alvo popular para cibercriminosos. As empresas estão migrando cada vez mais seus fluxos de trabalho para aplicativos web, e a invasão de navegadores permite o acesso a tokens de autenticação, credenciais, informações financeiras e outros dados sensíveis.