Un nou malware, denumit VoidStealer, a fost observat în mediul real folosind metode avansate pentru a extrage în mod direct cheia principală de decriptare a browserului Chrome. Această metodă evită tehnicile tradiționale de atac și utilizează breakpoint-uri hardware și debugger pentru a accesa memoria procesului și a obține cheia v20_master_key în timpul procesului de startup, când datele sensibile sunt încărcate în memorie.
Mod de funcționare al trucului folosit de VoidStealer
Malware-ul pornește un proces de browser ascuns și se atașează ca debugger. Apoi, așteaptă încărcarea bibliotecilor chrome.dll sau msedge.dll și caută anumite instrucțiuni, precum o referință LEA. După identificare, setează breakpoint-uri hardware pe firele de execuție pentru a intercepta momentele critice ale inițializării browserului.
La momentul apelului, browserul descifrează și încarcă date protejate, inclusiv cookie-uri și alte informații sensibile, iar cheia v20_master_key devine temporar disponibilă în memorie în format clar. Atunci, malware-ul citește registrul conținând pointerul către această cheie și o extrage utilizând funcția ReadProcessMemory.
Această metodă nu necesită escaladare de privilegii și nu injectează cod în procesul browserului, fiind mai discretă decât tehnicile clasice de atac. Ea a fost integrată în versiunea 2.0 a platformei malware-as-a-service promovate de Gen Digital din decembrie 2025, indicând o evoluție rapidă a tehnicilor utilizate în infracțiuni cibernetice.
Implicații și gravitatea riscului
Browserul a devenit un depozit valoros de date pentru atacatori, care pot prelua cookie-uri de sesiune, credențiale, token-uri și informații despre conturi. Descoperirea pune în evidență vulnerabilități ale mecanismului de protecție ABE, chiar dacă acesta ridică bariere semnificative față de atacurile tradiționale bazate pe DPAPI.
Specialiștii afirmă că această tehnică nu a fost inventată de VoidStealer, ci este derivată din proiectul open-source ElevationKatz, parte din setul ChromeKatz, dezvoltat de peste un an pentru a demonstra anumite vulnerabilități ale ABE. Astfel, diferența dintre cercetarea de vulnerabilitate și utilizarea practică de către infractori devine foarte subțire.
Chiar dacă Google a explicat în 2024 că ABE reprezintă o barieră semnificativă pentru atacurile clasice, cercetări independente din 2024 și 2025 au arătat că metodele de bypass continuă să fie dezvoltate și adoptate rapid în ecosistemul infracțional.
Pentru utilizatori, concluzia este clară: protecțiile moderne influențează dificultatea atacurilor, dar nu elimină riscul. Atacurile moderne țintesc momentele în care datele sunt încărcate în memorie și accesibile procesului legitim. Protecția optimă necesită stratificare, actualizări rapide, software de securitate și măsuri suplimentare, precum autentificarea multifactor.
Pentru mediul de securitate, cazurile precum VoidStealer evidențiază că domeniul browserului devine un teren tot mai complex și competitiv. Îmbunătățirile tehnice și demonstrațiile de vulnerabilitate creează un echilibru precar între protecție și exploatare, iar infractorii adoptă rapid fiecare metodă de atenuare a steagurilor de alarmă.
Cybercriminalii par să fi evoluat spre tehnici care să nu fie detectate ușor, folosind debugger-e hardware și alte metode subtile pentru a extrage chei și datade sensibile, în condițiile în care metodele clasice devin tot mai mitigabile de sistemele de securitate moderne.