Infostealer malware bypasses Chrome’s new cookie-theft defenses

Infostealerのマルウェア開発者は、クッキーなどの機密データを保護するために最近導入されたGoogle Chromeの機能App-Bound Encryptionをバイパスすると主張するアップデートをリリースした。

App-Bound EncryptionはChrome 127で導入され、システム特権で実行されるWindowsサービスを使用してクッキーと保存されたパスワードを暗号化するように設計されています。

このモデルでは、ログに記録されたユーザーの権限で実行される情報窃取マルウェアが、Chrome ブラウザに保存された機密情報を窃取することはできません。

この保護を回避するためには、マルウェアはシステム特権を必要とするか、Chromeにコードを注入する必要がある。どちらも、セキュリティ・ツールから警告を受ける可能性が高い騒々しい行為だ、とChromeセキュリティ・チームのウィル・ハリスは述べている

しかし、セキュリティ研究者のg0njxa氏とRussianPanda9xx氏は、複数の情報窃取ツール開発者が、自分たちのツール(MeduzaStealerWhitesnakeLumma StealerLumar (PovertyStealer)Vidar StealerStealC)にバイパスを実装したと自慢しているのを発見した。

Whitesnake stealer grabbing cookies from Chrome 128
Whitesnake StealerがChrome 128
からクッキーを取得:g0njxa

g0njxa が、Lumma Stealer の最新の亜種が Chrome 129(現在ブラウザの最新バージョン)の暗号化機能を迂回できることを確認したことから、少なくともいくつかの主張は本物であるようです。

Extracted cookies from Chrome 129, using latest Lumma
最新の Lumma
を使用して Chrome 129 からクッキーを抽出:g0njxa

研究者は、サンドボックス環境のWindows 10 Proシステムでマルウェアをテストしました。

時期的には、MeduzaとWhiteSnakeは2週間以上前、Lummaは先週、VidarとStealCは今週、迂回メカニズムを実装している。

Lumarは当初、管理者権限でマルウェアを起動する必要がある一時的なソリューションを実装することでApp-Bound Encryptionに対応したが、その後、ログインしているユーザーの権限で動作するバイパス・メカニズムを実装した。

Lumma Stealerの開発者は、クッキーを盗むために管理者権限でマルウェアを実行する必要はないと顧客に保証しました。

“Chromeクッキーを収集する新しい方法を追加しました。新しい方法では管理者権限および/または再起動を必要としないため、cryptのビルドが簡素化され、検出の可能性が低くなり、ノック率が向上します。”- Lumma Stealerの開発者

App-Bound Encryptionのバイパスがどのように達成されるかはまだ公表されていないが、Rhadamanthysマルウェアの作者は、暗号化を元に戻すのに10分かかったとコメントしている。

ChromeのApp-Bound Encryptionに対するマルウェア開発者の対応について、テックジャイアントにコメントを求めたが、まだ返答待ちである。

更新 9/25:研究者のRussianPanda9xxも、VidarとLummaが最新のChromeからクッキーを取得することができることを確認しました。