VoidStealer zaobilazi Chrome zaštitu i krade podatke iz browsera
VoidStealer infostealer koristi debugger pristup da zaobiđe Chrome App-Bound Encryption i dođe do session cookie-ja, sačuvanih lozinki i podataka za plaćanje bez administratorskih privilegija i bez code injection tehnike. Prema tekstu, malware pokreće skriveni Chrome ili Edge proces, vezuje se za njega kao debugger i hvata trenutak u kome je ključ za dešifrovanje kratko prisutan u memoriji. Istraživači navode da je implementacija preuzeta iz javno dostupnog ElevationKatz projekta, a tehnika se može prilagoditi i drugim Chromium browserima.
Nezgodan deo ove tehnike je što napadači ne moraju da probijaju zaštitu grubom silom, već čekaju legitimni trenutak u kome browser sam radi ono što mora da uradi. Za firme koje se oslanjaju na sačuvane lozinke i sesije u browseru, kompromitovan korisnički računar može brzo postati kompromitovan poslovni nalog.
- Pratiti procese koji se samostalno vezuju kao debugger za chrome.exe ili msedge.exe
- Uvesti nadzor nad skrivenim pokretanjem browsera kroz SW_HIDE ili headless opcije
- Ograničiti čuvanje poslovnih lozinki u browseru i prebaciti ih u namenski password manager
- Proveravati neuobičajene ReadProcessMemory pozive prema Chrome i Edge procesima
- Redovno ažurirati Windows, Chrome, Edge i EDR pravila za detekciju infostealer tehnika