Создатели трояна VoidStealer обнаружили способ обходить шифрование Google App-Bound Encryption (ABE) для кражи учётных данных из браузера Chrome и его производных под Windows, обратили внимание эксперты «Лаборатории Касперского».
Источник изображения: kaspersky.ru
В июле 2024 года Google представила технологию ABE для защиты данных в Chrome и других браузерах на той же платформе, в том числе Microsoft Edge, Opera, Vivaldi и Brave. При работе Chrome в Apple macOS за защиту данных отвечает системная служба Keychain, в Linux также есть аналогичные средства, а вот в Windows инструменты Data Protection API (DPAPI) не обеспечивают достаточной защиты фалов cookie и паролей от доступа вредоносных приложений, маскирующихся под запросы легитимных пользователей.
Технология ABE была призвана решить эту проблему — она позволяет производить расшифровку только самому приложению Chrome, а не любому другому процессу, даже если он запущен от имени пользователя. В действительности эту защиту взломали довольно быстро — так появились трояны Meduza Stealer, Whitesnake, Lumma Stealer и Lumar, которые успешно собирали файлы cookie и другие данные из Chrome. Собственные способы делать это выработали и исследователи в области кибербезопасности. Алекс Хагена (Alex Hagenah), например, предложил схему, в которой сочетаются бесфайловое выполнение кода напрямую в памяти, внедрение процессов, прямые системные вызовы и другие скрытые способы; в минувшем году была разработана техника атаки C4, позволяющая добиться того же результата даже пользователю с низкими привилегиями.
Разработчики трояна VoidStealer предложили новую схему. Ключевым этапом является момент, в который Chrome для расшифровки данных извлекает ключ шифрования в открытом виде в памяти браузера. Вредоносная программа подключается к нему под видом отладчика — легитимного механизма для устранения неполадок — определяет момент, когда начинает производиться расшифровка, и приостанавливает процесс. В результате злоумышленник извлекает ключ шифрования непосредственно из памяти, обходя тем самым средства защиты. Возникновение этой схемы подтверждает, что браузеры становятся популярной целью атак у киберпреступников. Предприятия всё чаще переносят свои рабочие процессы в веб-приложения, и взлом браузеров открывает доступ к токенам аутентификации, учётным данным, финансовой информации и другим сведениям конфиденциального характера.