Az Infostealer malware megkerüli a Chrome új, App-Bound Encryption funkcióját

Az Infostealer programok fejlesztői olyan frissítéseket tettek közzé, amelyekkel megkerülik a Google Chrome 127-ben az érzékeny adatok, illetve a cookie-k védelme érdekében bevezetett App-Bound Encryption funkcióját.

Ez a modell nem teszi lehetővé, hogy authentikált felhasználói jogosultságokkal rendelkező infostealer malware ellopja a Chrome böngészőben tárolt adatokat. A védelem megkerüléséhez a malware-nek rendszergazdai jogosultságra van szüksége vagy kód injektálást kell alkalmaznia a Chrome-ban.

g0njxa és a RussianPanda9xx biztonsági kutatók azonban több infostealer fejlesztőt is megfigyeltek (MeduzaStealerWhitesnakeLumma StealerLumar (PovertyStealer)Vidar StealerStealC), akik működő bypass-t implementáltak eszközeikhez.

1. ábra Whitesnake stealer sütiket szerez meg a Chrome 128-ból forrás: @g0njxa

 

A g0njxa megerősítette a BleepingComputer számára, hogy a Lumma Stealer legújabb verziója képes megkerülni a Chrome 129 (a böngésző jelenleg legújabb verziója) titkosítási funkcióját.

2. ábra A Chrome 129-ből kinyert cookie-k a legújabb Lumma verzió használatával forrás: @g0njxa

 

A kutató egy Windows 10 Pro rendszeren sandbox környezetben tesztelte a kártevőt.

A Meduza, a WhiteSnake, a Lumma, a Vidar és a StealC is szeptemberben vezette be a bypass mechanizmusait.
A Lumar kezdetben egy ideiglenes megoldást alkalmazva válaszolt az App-Bound Encryption-re, amelyhez rendszergazdai jogosultságokkal kellett elindítani a rosszindulatú programot, de ezt követte egy megkerülő mechanizmus, amely a bejelentkezett felhasználó jogosultságaival is működik.

Továbbra sem hozták nyilvánosságra, hogy pontosan hogyan érik el az App-Bound Encryption megkerülését, de a Rhadamanthys malware alkotóinak 10 percbe telt a titkosítás feloldása.

(bleepingcomputer.com)