СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Отчеты
Технологии киберугроз
21 марта
#ИБ

VoidStealer обходит защиту Chrome и Edge через отладчик

Новый класс phishing-grade information stealer демонстрирует заметный сдвиг в тактиках обхода защиты браузеров: исследователи зафиксировали, что VoidStealer в реальных атаках применяет Application-Bound Encryption (ABE) bypass с использованием debugger-based approach и Hardware Breakpoints для извлечения v20_master_key из памяти Chrome и Edge.

Что известно о новой технике

По данным отчета, VoidStealer стал первым observed-in-the-wild стиллером, который использует новый способ обхода защиты, основанный на debugger application binding encryption bypass. Его ключевая особенность заключается в том, что вредонос не пытается напрямую внедрять код в процесс браузера, а извлекает криптографический ключ из памяти с помощью отладчика и системных вызовов.

Речь идет о v20_master_key, который используется для защиты конфиденциальных данных браузера. В отличие от традиционных методов, такой подход:

  • не требует privilege escalation;
  • не требует прямого code injection;
  • снижает вероятность срабатывания средств обнаружения;
  • позволяет работать более скрытно, чем шумные COM-based техники.

Как ABE изменил ландшафт атак

Google внедрила ABE в Chrome 127 в июле 2024 года, чтобы защитить конфиденциальные данные браузера. Эта мера заметно повысила планку безопасности, однако одновременно стимулировала разработку новых обходных методов со стороны злоумышленников.

Авторы VoidStealer, как отмечается в отчете, широко опирались на наработки проекта ElevationKatz. Это показывает, что ранее созданные legitimate security techniques могут быть адаптированы и использованы в malicious contexts.

Два подхода к обходу защиты

VoidStealer использует сразу два метода обхода ABE:

1. Traditional method

Классическая схема предполагает внедрение кода в процесс браузера и использование функции IElevator::DecryptData через COM interface. Этот вариант уже известен защитным решениям и, как подчеркивается в отчете, с высокой вероятностью вызывает alerts из-за своей «шумности».

2. New stealthier method

Более новый вариант основан на сочетании WinAPI ReadProcessMemory и работы через debugger. В этом случае вредонос получает доступ к v20_master_key без необходимости прямого внедрения кода, что существенно снижает риск обнаружения.

Как работает атака на практике

Процесс обхода начинается с запуска браузера в suspended state с помощью CreateProcessW. После этого VoidStealer подключается к процессу в качестве отладчика — поведение, которое само по себе может считаться suspicious.

Далее вредонос ожидает важные debug events и анализирует адреса в DLL-библиотеках браузера, связанные с криптографическими операциями. Особое внимание уделяется строке OSCrypt.AppBoundProvider.Decrypt.resultCode, которая, как указано в отчете, тесно связана с точкой доступа к v20_master_key в памяти.

После установки Hardware Breakpoints злоумышленник может извлечь ключ, не меняя код браузера. Именно эта особенность делает технику особенно опасной: она сочетает малозаметность, отсутствие инъекции и высокую эффективность.

Что это означает для защиты

Для defenders ключевая задача — отслеживать признаки аномального поведения, которые могут указывать на подобную атаку. В первую очередь речь идет о следующих индикаторах:

  • подключение debugger к процессу браузера;
  • запуск браузера в hidden или suspended состоянии;
  • необычное использование CreateProcessW в связке с последующим debugging;
  • доступ к памяти через ReadProcessMemory без очевидной легитимной причины;
  • активность вокруг криптографических функций браузера.

Отчет подчеркивает, что подобные методы, вероятно, будут развиваться дальше. Это означает, что будущие версии malware могут использовать схожую тактику обхода ABE, но с дополнительными улучшениями, повышающими stealth и reliability атаки.

Вывод

Появление VoidStealer демонстрирует, что даже серьезные механизмы защиты браузеров, такие как Application-Bound Encryption, быстро становятся объектом изучения и адаптации со стороны атакующих. Использование Hardware Breakpoints и debugger-based techniques указывает на рост технической зрелости information stealers и на необходимость более внимательного мониторинга поведенческих аномалий в среде браузеров.

По мере развития систем обхода ABE требуется повышенная бдительность для защиты от более скрытных угроз, использующих постоянно появляющиеся слабые места в протоколах безопасности браузеров.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: