Инженеры по безопасности столкнулись с новой, технически изощрённой тактикой кражи данных, которая позволяет вредоносному ПО обходить одну из ключевых защит современных браузеров. Программа-вымогатель VoidStealer, распространяемая по модели Malware-as-a-Service (MaaS, вредоносное ПО как услуга), первой в дикой природе применила метод обхода Application-Bound Encryption (ABE, шифрования, привязанного к приложению), основанный на использовании отладчика. Этот подход не требует повышения привилегий или внедрения кода в процесс браузера, что делает его значительно более скрытным по сравнению с ранее известными методами. Исследователи из Gen Threat Labs подробно разобрали технику атаки, что подчёркивает растущую сложность противостояния современным угрозам.
Описание
Введение Google технологии Application-Bound Encryption летом 2024 года в Chrome 127 стало важным шагом в защите паролей и куки-файлов. Суть ABE заключается в том, что главный ключ шифрования данных пользователя, v20_master_key, защищён с помощью системной функции Windows CryptProtectData от имени учётной записи NT AUTHORITY\SYSTEM. Сам браузер работает под правами обычного пользователя, поэтому для расшифровки этого ключа он обращается к специальному сервису Google Chrome Elevation Service. Это усложняет жизнь ворам данных, так как для кражи информации им теперь необходимо либо получить права SYSTEM, либо внедриться в процесс браузера, что является шумными и легко обнаруживаемыми действиями.
Однако, как показывает анализ VoidStealer, злоумышленники нашли элегантный способ обойти это ограничение, эксплуатируя неизбежный момент, когда ключ всё же присутствует в оперативной памяти браузера в открытом виде. Вместо рискованного внедрения кода программа действует как отладчик. Она запускает браузер (Chrome или Edge) в скрытом режиме, немедленно присоединяется к его процессу через DebugActiveProcess и начинает отслеживать загрузку динамических библиотек. Цель - найти в памяти браузера определённую строку "OSCrypt.AppBoundProvider.Decrypt.ResultCode", адрес которой указывает на точку в коде, где функция расшифровки ключа уже выполнена, но сам ключ ещё находится в регистре процессора.
Обнаружив нужную инструкцию в коде, вредоносная программа устанавливает на её адрес аппаратные точки останова (hardware breakpoints) для всех потоков процесса браузера. Ключевое преимущество аппаратных точек останова в том, что для их установки не требуется модифицировать память целевого процесса - они настраиваются через контекст потока, что делает атаку практически бесшумной. Когда браузер в процессе своей инициализации пытается расшифровать куки-файлы, защищённые ABE, выполнение кода останавливается на этой точке. В этот момент VoidStealer считывает значение v20_master_key прямо из регистров процессора с помощью функции ReadProcessMemory. Получив ключ, злоумышленники могут расшифровать любые данные, защищённые ABE, хранящиеся на диске.
Интересно, что разработчики VoidStealer не изобрели этот метод самостоятельно. Они адаптировали его из открытого проекта ElevationKatz, который был опубликован более полугода назад. Это демонстрирует тревожную тенденцию, когда передовые исследовательские техники быстро находят путь в арсенал коммерческого вредоносного ПО. VoidStealer, активно развивающийся с декабря 2025 года, внедрил эту технику обхода в версии 2.0, выпущенной в середине марта 2026 года, что указывает на высокую скорость адаптации угроз.
Для специалистов по защите данный инцидент служит важным напоминанием. Хотя ABE не является серебряной пулей, она успешно выполняет свою основную задачу - заставляет злоумышленников совершать более сложные и заметные действия. Атака на основе отладчика, несмотря на свою скрытность, оставляет характерные следы. Ключевыми индикаторами компрометации являются факты отладки браузера сторонним процессом, особенно если браузер был запущен в скрытом режиме или с флагами приостановки. Мониторинг вызовов DebugActiveProcess и ReadProcessMemory, направленных на процессы браузеров, может помочь в раннем обнаружении подобных атак. Кроме того, подозрительным сигналом является массовая установка аппаратных точек останова в процессы, которые не являются традиционными целями для отладки.
Появление VoidStealer с этой техникой в дикой природе, вероятно, откроет шлюзы - теперь, когда публичное доказательство концепции адаптировано в реальную угрозу, можно ожидать, что и другие семейства вредоносных программ-похитителей данных быстро внедрят аналогичные методы. Это требует от защитников пересмотра стратегий мониторинга, смещения фокуса не только на подозрительные записи в память, но и на аномальное взаимодействие с процессами через механизмы отладки. Борьба за данные пользователей входит в новую, более сложную фазу, где преимущество будет за теми, кто сможет детектировать не только явные атаки, но и те, что маскируются под легитимные операции операционной системы.
Индикаторы компрометации
SHA256
- f783fde5cf7930e4b3054393efadd3675b505cbef8e9d7ae58aa35b435adeea4
