Разработчики вредоносного ПО класса Infostealer (трояны, предназначенные для сбора информации из системы жертвы) выпустили обновления, которые могут обходить недавно представленную функцию безопасности Chrome — App-Bound Encryption, предназначенную для защиты конфиденциальных данных, таких как файлы куки.
Защитная технология App-Bound Encryption была представлена в Chrome 127 и была разработана для шифрования куки и сохраненных паролей с помощью службы Windows, которая работает с системными привилегиями.
Этот механизм не позволяет угрозам типа Infostealer, работающим с правами текущего пользователя, перехватывать секретные данные, хранящиеся в браузере Chrome.
Для обхода этой защиты вредоносному ПО потребуется системные привилегии или внедрение кода в Chrome, что является рискованными действиями, способными вызвать предупреждения антивируса.
Однако, несколько разработчиков зловредов для кражи данных утверждают, что уже реализовали рабочие способы обхода для своих инструментов (MeduzaStealer, Whitesnake, Lumma Stealer, Lumar (PovertyStealer), Vidar Stealer, StealC).
По словам исследователя g0njxa, некоторые из этих утверждений оказались правдой: последняя версия Lumma Stealer действительно может обходить функцию шифрования в Chrome 129.
Исследователь протестировал вредоносное ПО на системе Windows 10 Pro в изолированной среде (песочнице).
Meduza и WhiteSnake внедрили механизмы обхода две недели назад, Lumma — на прошлой неделе, а Vidar и StealC — на этой неделе.
Исследователь RussianPanda9xx также подтвердил, что Vidar и Lumma способны извлекать cookie из последней версии Chrome, что было проверено в ходе тестирования.
Первоначально разработчики Lumar ответили на введение App-Bound Encryption временным решением, требующим запуска вредоносного ПО с правами администратора, но затем внедрили метод обхода, работающий с правами текущего пользователя.
Разработчики Lumma Stealer заверили своих клиентов, что им не нужно запускать вредоносное ПО с правами администратора для успешной кражи кук:
Добавлен новый метод сбора cookie из Chrome. Новый метод не требует прав администратора и/или перезагрузки, что упрощает создание крипто-билда, снижает вероятность обнаружения и увеличивает количество успешных атак
Точный метод обхода App-Bound Encryption остается нераскрытым, но авторы вредоносного ПО Rhadamanthys отметили, что на реверс-инжиниринг системы шифрования у них ушло 10 минут.
Угрозы безопасности
• Расширение VK Styles для Chrome перехватывало управление профилями в соцсети VK
• Google: хакеры используют Gemini AI на всех этапах кибератак
• Фальшивый сайт 7-Zip распространяет ПО для скрытого создания прокси-сетей
• Атаки ShadyPanda и GhostPoster: как миллионы пользователей пострадали от обновлений легитимных расширений
• «Доктор Веб» рассказал, как противостоять мошенническим звонкам
• В игре People Playground через Steam Workshop распространялся вредоносный мод