Злонамереният софтуер VoidStealer въвежда нова техника за заобикаляне на механизма Google Chrome Application-Bound Encryption (ABE) – защита, създадена да предотврати кражбата на чувствителни данни от браузъра.

За разлика от предишни атаки, този подход не разчита на:

• повишаване на привилегии
• инжектиране на код
• експлоатиране на уязвимости

Вместо това използва хардуерни breakpoints, за да извлече директно master ключа от паметта.

Как работи атаката

ABE, въведена в Chrome 127 през 2024 г., гарантира, че master ключът:

• остава криптиран на диска
• може да бъде декриптиран само чрез системна услуга с високи привилегии

Въпреки това, VoidStealer атакува най-слабия момент – когато ключът временно се намира в паметта в чист вид.

Основни стъпки на атаката:

1. Стартира скрит браузър процес в suspended режим
2. Прикачва се към него като debugger
3. Изчаква зареждането на chrome.dll или msedge.dll
4. Поставя хардуерен breakpoint върху конкретна инструкция
5. Засича момента на декриптиране
6. Извлича v20_master_key директно от паметта

Това се случва най-ефективно при стартиране на браузъра, когато се зареждат защитени cookies.

Защо този метод е толкова опасен

Според изследване на Gen Digital, това е:

Първият реално наблюдаван инфостийлър, който използва debugger-базиран bypass на ABE чрез хардуерни breakpoints.

Ключовите предимства за атакуващите:

• Ниска детектируемост – липсват класически индикатори като code injection
• Не изисква администраторски права
• Заобикаля съществуващите защити на Chrome
• Достъп до всички чувствителни данни (cookies, сесии, идентификационни токени)

Произход и екосистема

VoidStealer се предлага като Malware-as-a-Service (MaaS) платформа и се рекламира в тъмната мрежа от края на 2025 г.

Интересен детайл е, че техниката вероятно не е напълно нова, а е базирана на open-source проекта:

• ElevationKatz

който демонстрира слабости в Chrome чрез подобен подход.

Какво означава това за сигурността

Този случай ясно показва една фундаментална истина в киберсигурността:

Дори най-силните механизми могат да бъдат заобиколени, ако атаката се насочи към момента на изпълнение (runtime), а не към съхранението.

ABE не е „счупена“, но:

• защитата на ниво диск не е достатъчна
• паметта остава критична точка за атака
• поведението на процесите става новият фронт

Практически препоръки

За организации и потребители:

• Използване на EDR/XDR решения с поведенчески анализ
• Ограничаване на възможностите за debugging на процеси
• Мониторинг за необичайни взаимодействия с браузърни процеси
• Редовно обновяване на браузъри и защитен софтуер
• Изолиране на чувствителни сесии (например чрез отделни профили или виртуални среди)

VoidStealer демонстрира еволюцията на инфостийлърите – от груби техники към прецизни, ниско ниво атаки върху паметта.

Това не е просто нов malware, а сигнал за промяна в начина, по който трябва да се мисли за защитата на браузърите и крайните устройства.