Desenvolvedores de malware do tipo infostealer lançaram atualizações alegando ser capazes de contornar o recurso recentemente introduzido pelo Google Chrome, a App-Bound Encryption, que visa proteger dados sensíveis como cookies.
A App-Bound Encryption foi introduzida no Chrome 127 e tem como objetivo criptografar cookies e senhas armazenadas usando um serviço do Windows que funciona com privilégios de sistema.
Este modelo não permite que malwares infostealers, que funcionam com as permissões do usuário logado, roubem segredos armazenados no navegador Chrome.
Para contornar essa proteção, o malware precisaria de privilégios de sistema ou injetar código no Chrome, ações ambas barulhentas que provavelmente acionariam alertas de ferramentas de segurança, disse Will Harris da equipe de segurança do Chrome.
No entanto, os pesquisadores de segurança g0njxa e também RussianPanda9xx observaram múltiplos desenvolvedores de infostealer se gabando de terem implementado um bypass funcional para suas ferramentas (MeduzaStealer, Whitesnake, Lumma Stealer, Lumar (PovertyStealer), Vidar Stealer, StealC).
Parece que pelo menos algumas das alegações são reais, já que g0njxa confirmou que a variante mais recente do Lumma Stealer pode contornar o recurso de criptografia no Chrome 129, atualmente a versão mais recente do navegador.
O pesquisador testou o malware em um sistema Windows 10 Pro em um ambiente sandbox.
Em termos de cronograma, Meduza e WhiteSnake implementaram seus mecanismos de bypass há mais de duas semanas, Lumma na semana passada, e Vidar e StealC nesta semana.
Lumar inicialmente respondeu à App-Bound Encryption implementando uma solução temporária que exigia o lançamento do malware com direitos de administrador, mas seguiu com um mecanismo de bypass que funciona com os privilégios do usuário logado.
Os desenvolvedores do Lumma Stealer asseguraram a seus clientes que eles não precisam executar o malware com privilégios de administrador para que o roubo de cookies funcione.
Como exatamente o bypass da App-Bound Encryption é alcançado permanece não divulgado, mas os autores do malware Rhadamanthys comentaram que lhes levou 10 minutos para reverter a criptografia.
A pesquisadora RussianPanda9xx também confirmou que Vidar e Lumma são capazes de recuperar cookies da versão mais recente do Chrome, conforme ela validou por meio de testes.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...