Infostealerのマルウェア開発者は、クッキーなどの機密データを保護するために最近導入されたGoogle Chromeの機能App-Bound Encryptionをバイパスすると主張するアップデートをリリースした。
App-Bound EncryptionはChrome 127で導入され、システム特権で実行されるWindowsサービスを使用してクッキーと保存されたパスワードを暗号化するように設計されています。
このモデルでは、ログに記録されたユーザーの権限で実行される情報窃取マルウェアが、Chrome ブラウザに保存された機密情報を窃取することはできません。
この保護を回避するためには、マルウェアはシステム特権を必要とするか、Chromeにコードを注入する必要がある。どちらも、セキュリティ・ツールから警告を受ける可能性が高い騒々しい行為だ、とChromeセキュリティ・チームのウィル・ハリスは述べている。
しかし、セキュリティ研究者のg0njxa氏とRussianPanda9xx氏は、複数の情報窃取ツール開発者が、自分たちのツール(MeduzaStealer、Whitesnake、Lumma Stealer、Lumar (PovertyStealer)、Vidar Stealer、StealC)にバイパスを実装したと自慢しているのを発見した。
g0njxa が、Lumma Stealer の最新の亜種が Chrome 129(現在ブラウザの最新バージョン)の暗号化機能を迂回できることを確認したことから、少なくともいくつかの主張は本物であるようです。
研究者は、サンドボックス環境のWindows 10 Proシステムでマルウェアをテストしました。
時期的には、MeduzaとWhiteSnakeは2週間以上前、Lummaは先週、VidarとStealCは今週、迂回メカニズムを実装している。
Lumarは当初、管理者権限でマルウェアを起動する必要がある一時的なソリューションを実装することでApp-Bound Encryptionに対応したが、その後、ログインしているユーザーの権限で動作するバイパス・メカニズムを実装した。
Lumma Stealerの開発者は、クッキーを盗むために管理者権限でマルウェアを実行する必要はないと顧客に保証しました。
App-Bound Encryptionのバイパスがどのように達成されるかはまだ公表されていないが、Rhadamanthysマルウェアの作者は、暗号化を元に戻すのに10分かかったとコメントしている。
ChromeのApp-Bound Encryptionに対するマルウェア開発者の対応について、テックジャイアントにコメントを求めたが、まだ返答待ちである。
更新 9/25:研究者のRussianPanda9xxも、VidarとLummaが最新のChromeからクッキーを取得することができることを確認しました。
Comments