Un nou tip de malware, denumit VoidStealer, exploatează o vulnerabilitate în browserul Chrome, reușind să extragă chei secrete de criptare fără a necesita privilegii administrative sau injectare de cod. Metoda, descrisă de cercetători, demonstrează că protecțiile avansate, precum cele anti-bypass, pot fi ocolite prin exploatarea momentelor în care datele sensibile sunt accesibile procesului legitim. Impactul este semnificativ, deoarece browserul a devenit un punct central pentru date valoroase, inclusiv parole, cookie-uri și alte informații importante.
Metoda de atac: debugger și breakpoint-uri hardware
VoidStealer funcționează prin utilizarea unei metode sofisticate care ocolește tehnicile standard de securitate. Atacatorii pornesc un proces de browser ascuns și suspendat, apoi se atașează la acesta ca un debugger. După ce așteaptă încărcarea bibliotecilor relevante, precum chrome.dll sau msedge.dll, malware-ul caută un șir de caractere specific și o instrucțiune de tip LEA. Această instrucțiune face referire la un anumit punct din cod. Apoi, adresa respectivă devine ținta pentru un breakpoint hardware.
Atacatorii setează breakpoint-uri pe firele de execuție ale browserului și așteaptă ca acestea să fie atinse în momentul crucial al pornirii. Browserul încarcă și decriptează o parte din datele protejate prin ABE (Anti-Bypass Execution), inclusiv cookie-uri și informații sensibile. Cheia master ajunge pentru scurt timp în memorie într-un format clar. Când breakpoint-ul se declanșează, VoidStealer citește registrul care conține pointerul spre cheia în clar și o extrage prin utilizarea funcției ReadProcessMemory. Această abordare este discretă, deoarece nu necesită privilegii administrative sau injectare de cod, acțiuni care sunt mai ușor de detectat de sistemele de securitate.
De ce este o problemă mai mare decât pare
Impactul acestei descoperiri depășește sfera tehnică, afectând utilizatorii obișnuiți și companiile. Browserul a devenit un depozit de date valoroase pentru atacatori, inclusiv credențiale salvate și token-uri de autentificare. Orice metodă nouă prin care malware-ul poate recupera cheia principală de decriptare reprezintă un risc semnificativ. Un alt aspect important este că VoidStealer pare să fi adaptat o idee din proiectul open-source ElevationKatz, parte din setul de instrumente ChromeKatz. Această situație subliniază fragilitatea graniței dintre cercetare, demonstrații publice și armele utilizate de infractori.
Pentru Google, situația este incomodă, dar nu surprinzătoare. Compania a explicat anterior că, deși ABE sporește securitatea, nu este o barieră completă. Cercetările au arătat că atacatorii caută în mod constant modalități de a ocoli noile măsuri de protecție. Utilizatorii trebuie să înțeleagă că nu este suficient să se bazeze doar pe protecțiile browserului. O protecție eficientă implică actualizări rapide, software de securitate, atenție la executabile suspecte, o bună igienă a parolelor și, ideal, autentificare multifactor.
VoidStealer demonstrează că securitatea browserului este un câmp de luptă dinamic. Google întărește constant protecțiile, cercetătorii identifică limitele, instrumentele open-source demonstrează metode de bypass, iar infractorii se adaptează rapid. Luna trecută, Google a lansat un comunicat în care anunța că a inițiat o investigație internă și a actualizat măsurile de securitate pentru a contracara atacurile de tip VoidStealer.
Sursa: Playtech.ro
