Охота на мастер-ключ: новый стилер VoidStealer ловит пароли Chrome в тот краткий миг, когда защита «расслабляется»
NewsMakerИнфостилеры научились обходить шифрование v20_master_key, подсматривая в память браузера.
Вредоносные программы, которые крадут данные из браузеров, снова обошли защиту Google, но сделали это гораздо аккуратнее, чем раньше. Новый инфостилер VoidStealer научился извлекать ключ шифрования прямо из памяти браузера без повышения привилегий и без внедрения кода, что заметно снижает шансы на обнаружение.
Речь идет о механизме Application-Bound Encryption, который Google внедрила в Chrome летом 2024 года, начиная с версии 127. Смысл защиты в том, чтобы привязать доступ к чувствительным данным браузера к конкретному приложению и усложнить их расшифровку. Пароли, куки и другие данные хранятся в зашифрованном виде, а ключ для расшифровки защищен дополнительным уровнем - через системные механизмы Windows.
В основе схемы лежит мастер-ключ, который исследователи обозначают как v20_master_key. Именно он используется для расшифровки данных браузера, зашифрованных алгоритмом AES-GCM. Сам ключ хранится на диске в зашифрованном виде и извлекается через цепочку системных вызовов, включая CryptUnprotectData с участием учетной записи NT AUTHORITY\SYSTEM. Такой подход должен был сделать прямое извлечение данных крайне сложным.
Однако защита имеет уязвимое место. Даже при всех ограничениях ключ на короткое время появляется в памяти браузера в открытом виде, когда происходит расшифровка данных. Именно этот момент и использует новая техника обхода.
Вредоносные программы, которые крадут данные из браузеров, снова обошли защиту Google, но сделали это гораздо аккуратнее, чем раньше. Новый инфостилер VoidStealer научился извлекать ключ шифрования прямо из памяти браузера без повышения привилегий и без внедрения кода, что заметно снижает шансы на обнаружение.
Речь идет о механизме Application-Bound Encryption, который Google внедрила в Chrome летом 2024 года, начиная с версии 127. Смысл защиты в том, чтобы привязать доступ к чувствительным данным браузера к конкретному приложению и усложнить их расшифровку. Пароли, куки и другие данные хранятся в зашифрованном виде, а ключ для расшифровки защищен дополнительным уровнем - через системные механизмы Windows.
В основе схемы лежит мастер-ключ, который исследователи обозначают как v20_master_key. Именно он используется для расшифровки данных браузера, зашифрованных алгоритмом AES-GCM. Сам ключ хранится на диске в зашифрованном виде и извлекается через цепочку системных вызовов, включая CryptUnprotectData с участием учетной записи NT AUTHORITY\SYSTEM. Такой подход должен был сделать прямое извлечение данных крайне сложным.
Однако защита имеет уязвимое место. Даже при всех ограничениях ключ на короткое время появляется в памяти браузера в открытом виде, когда происходит расшифровка данных. Именно этот момент и использует новая техника обхода.