Появился новый вредонос под названием VoidStealer, который умеет извлекать мастер-ключ шифрования, который является одним из самых защищённых элементов браузера Chrome. Это важно, потому что именно этот ключ позволяет расшифровать пароли, куки и другие чувствительные данные пользователя.
Главная проблема в том, что используется принципиально новый и более скрытный способ атаки, который сложнее обнаружить традиционными средствами защиты.
Как работает защита Chrome
В 2024 году в Chrome появилась технология Application-Bound Encryption (ABE), задача которой защитить данные пользователя так, чтобы даже при доступе к файлам браузера злоумышленник не смог их расшифровать.
Суть механизма:
данные (пароли, cookies) хранятся в зашифрованном виде;
ключ шифрования (v20_master_key) тоже защищён;
доступ к нему возможен только через системный сервис с повышенными правами.
Это заметно усложнило жизнь авторам инфостилеров, но полностью проблему не решило.
Что изменил VoidStealer
VoidStealer это malware-as-a-service инструмент, который продаётся на теневых форумах с конца 2025 года.
В версии 2.0 разработчики внедрили новый способ обхода ABE. В отличие от старых методов, он:
не требует повышения привилегий;
не внедряет код в процессы браузера;
оставляет меньше следов для антивирусов.
Это делает атаку гораздо менее заметной.
В чём суть атаки
Ключевая идея поймать момент, когда защищённый ключ появляется в памяти браузера в открытом виде.
VoidStealer делает это следующим образом:
Запускает скрытый процесс браузера (Chrome или Edge).
Подключается к нему как отладчик.
Ждёт загрузки нужных библиотек.
Ставит аппаратную точку останова (hardware breakpoint) в нужном месте кода.
В момент срабатывания получает указатель на мастер-ключ.
Считывает его напрямую из памяти.
После этого злоумышленник может расшифровать сохранённые пароли, cookies, автозаполнение, другие приватные данные.
Почему это опаснее прежних методов
Ранее подобные атаки обычно выглядели так:
внедрение кода в процесс браузера;
использование SYSTEM-прав;
вызов внутренних API Chrome.
Все эти действия легко отслеживаются защитными системами. Новый подход отличается:
используется стандартный механизм отладки Windows;
не происходит модификации памяти браузера;
нет явных подозрительных действий.
В итоге поведение выглядит гораздо чище, а значит сложнее выявляется.
Откуда взялась эта техника
Интересно, что разработчики VoidStealer не изобрели метод с нуля. Они адаптировали его из открытого проекта ElevationKatz, который демонстрирует слабые места защиты Chrome.
Однако это первый известный случай, когда подобная техника применяется в реальном вредоносном ПО.
Источник: bleepingcomputer