Void Stealer обходит защиту Chrome и крадет мастер-ключ через отладчик

Вредоносное ПО VoidStealer использует новый подход для обхода механизма Application-Bound Encryption (ABE) в Google Chrome и извлечения мастер-ключа, применяемого для расшифровки чувствительных данных, хранящихся в браузере.

Новый метод отличается большей скрытностью и основан на использовании аппаратных точек останова (hardware breakpoints) для извлечения ключа v20_master_key, который используется как для шифрования, так и для расшифровки данных, напрямую из памяти браузера — без необходимости повышения привилегий или внедрения кода.

Согласно отчету Gen Digital, материнской компании брендов Norton, Avast, AVG и Avira, это первый зафиксированный случай, когда инфостилер в реальных условиях использует подобный механизм.

Google внедрил механизм Application-Bound Encryption (ABE) в Chrome 127, выпущенном в июне 2024 года, как новый способ защиты файлов куки и других чувствительных данных браузера. Он обеспечивает шифрование мастер-ключа на диске, предотвращая его извлечение при обычном пользовательском доступе.

Для расшифровки ключа требуется служба Google Chrome Elevation Service, работающая с правами SYSTEM — она проверяет процесс, запрашивающий доступ, прежде чем разрешить операцию.

Общая схема работы механизма Application-Bound Encryption (ABE), блокирующего вредоносное ПО. Источник: Gen Digital

Однако эта система уже обходилась различными семействами инфостилеров и даже демонстрировалась в инструментах с открытым исходным кодом. Несмотря на то, что Google внедрил исправления и улучшения для блокировки подобных обходов, новые версии вредоносного ПО продолжают успешно использовать альтернативные методы.

Исследователь Gen Digital, Войтех Крейса (Vojtech Krejsa), отметил:

VoidStealer — первый инфостилер, зафиксированный в реальных условиях, который применяет новый метод обхода Application-Bound Encryption (ABE) на основе отладчика. Он использует аппаратные точки останова для извлечения ключа v20_master_key напрямую из памяти браузера.

VoidStealer представляет собой платформу по модели malware-as-a-service (MaaS), которая рекламируется на форумах даркнета как минимум с середины декабря 2025 года. Новый механизм обхода ABE был внедрен в версии 2.0 этого вредоносного ПО.

Кража мастер-ключа

Метод VoidStealer основан на перехвате короткого момента, когда ключ v20_master_key браузера Chrome временно присутствует в памяти в незашифрованном виде во время операций расшифровки.

В частности, вредонос запускает скрытый и приостановленный процесс браузера, подключается к нему как отладчик и ожидает загрузки целевой библиотеки (chrome.dll или msedge.dll).

После загрузки DLL вредонос сканирует ее в поисках определенной строки и инструкции LEA, которая на нее ссылается, используя адрес этой инструкции в качестве цели для установки аппаратной точки останова.

Далее зловред устанавливает эту точку останова для существующих и вновь создаваемых потоков браузера, ожидает ее срабатывания во время запуска, когда браузер расшифровывает защищенные данные, после чего считывает регистр, содержащий указатель на незашифрованный ключ v20_master_key, и извлекает его с помощью функции ReadProcessMemory.

В Gen Digital отмечают, что наиболее подходящий момент для такой атаки — запуск браузера, когда приложение загружает файлы куки, защищенные ABE, что приводит к необходимости расшифровки мастер-ключа.

Исследователи также считают, что VoidStealer, вероятно, не изобрел этот метод, а заимствовал его из открытого проекта ElevationKatz, входящего в набор инструментов ChromeKatz, демонстрирующих уязвимости Chrome. Несмотря на некоторые отличия в коде, реализация основана именно на ElevationKatz, который доступен уже более года.