VoidStealer koristi debugger trik za krađu Chrome master ključa
BleepingComputer piše da info-stealer VoidStealer koristi novu tehniku zaobilaženja Chrome Application-Bound Encryption zaštite kako bi izvukao master ključ iz memorije pregledača. Umesto klasične eskalacije privilegija ili ubacivanja koda, malver koristi hardware breakpoints i debugger pristup da uhvati trenutak kada je v20_master_key privremeno prisutan u čistom tekstu tokom dekripcije. Prema Gen Digitalu, ovo je prvi slučaj da je ovakav mehanizam primećen u stvarnim napadima, a nova tehnika je uvedena u verziji 2.0 VoidStealer MaaS platforme.
Ova vest pokazuje da zaštite poput ABE otežavaju posao napadačima, ali ga ne zatvaraju. Kada se zaštita zasniva na tome da je tajna bezbedna na disku, napadači se sve više pomeraju ka memoriji, trenutku izvršavanja i internim mehanizmima samog procesa. Za odbranu to znači da više nije dovoljno razmišljati samo o fajlovima, privilegijama i poznatim IOC-ovima, već i o ponašanju procesa, debugger zloupotrebi i pokušajima čitanja osetljivih podataka iz memorije.
- Pratiti sumnjivo pokretanje pregledača u skrivenom ili suspendovanom stanju i neočekivano debugger kačenje na browser procese
- Pojačati nadzor nad alatima i tehnikama za čitanje memorije procesa, posebno kada ciljaju chrome.dll ili msedge.dll
- Ne oslanjati se samo na to da je browser data zaštićen na disku, već tretirati krađu sesija i kolačića kao aktivan rizik i nakon uvođenja ABE
- Ograničiti početni pristup stealer malveru kroz zaštitu endpointa, kontrolu izvršavanja i edukaciju korisnika
- Pratiti razvoj open source alata koji demonstriraju browser bypass tehnike, jer ih kriminalne grupe očigledno brzo preuzimaju