Разработчики вредоносного ПО класса Infostealer (трояны, предназначенные для сбора информации из системы жертвы) выпустили обновления, которые могут обходить недавно представленную функцию безопасности Chrome — App-Bound Encryption, предназначенную для защиты конфиденциальных данных, таких как файлы куки.
Защитная технология App-Bound Encryption была представлена в Chrome 127 и была разработана для шифрования куки и сохраненных паролей с помощью службы Windows, которая работает с системными привилегиями.
Этот механизм не позволяет угрозам типа Infostealer, работающим с правами текущего пользователя, перехватывать секретные данные, хранящиеся в браузере Chrome.
Для обхода этой защиты вредоносному ПО потребуется системные привилегии или внедрение кода в Chrome, что является рискованными действиями, способными вызвать предупреждения антивируса.
Однако, несколько разработчиков зловредов для кражи данных утверждают, что уже реализовали рабочие способы обхода для своих инструментов (MeduzaStealer, Whitesnake, Lumma Stealer, Lumar (PovertyStealer), Vidar Stealer, StealC).
По словам исследователя g0njxa, некоторые из этих утверждений оказались правдой: последняя версия Lumma Stealer действительно может обходить функцию шифрования в Chrome 129.
Исследователь протестировал вредоносное ПО на системе Windows 10 Pro в изолированной среде (песочнице).
Meduza и WhiteSnake внедрили механизмы обхода две недели назад, Lumma — на прошлой неделе, а Vidar и StealC — на этой неделе.
Исследователь RussianPanda9xx также подтвердил, что Vidar и Lumma способны извлекать cookie из последней версии Chrome, что было проверено в ходе тестирования.
Первоначально разработчики Lumar ответили на введение App-Bound Encryption временным решением, требующим запуска вредоносного ПО с правами администратора, но затем внедрили метод обхода, работающий с правами текущего пользователя.
Разработчики Lumma Stealer заверили своих клиентов, что им не нужно запускать вредоносное ПО с правами администратора для успешной кражи кук:
Добавлен новый метод сбора cookie из Chrome. Новый метод не требует прав администратора и/или перезагрузки, что упрощает создание крипто-билда, снижает вероятность обнаружения и увеличивает количество успешных атак
Точный метод обхода App-Bound Encryption остается нераскрытым, но авторы вредоносного ПО Rhadamanthys отметили, что на реверс-инжиниринг системы шифрования у них ушло 10 минут.
Угрозы безопасности
• Обзор вирусной активности для Android в III квартале 2024 года – «Доктор Веб»
• Найдена критическая уязвимость в CUPS – пора обновить вашу Linux систему
• NOYB: Mozilla использует Firefox для отслеживания пользователей без их согласия
• Трояны для кражи данных научились обходить новую защиту Chrome – App-Bound Encryption
• Банковский троянец Octo2 для Android маскируется под NordVPN и Google Chrome
• Троянец Necro заразил более 11 миллионов Android-устройств через Google Play