TokyoBlackHatNews

gbhackers.com 4分で読了

VoidStealer マルウェアがブラウザ組込保護にもかかわらずChromeデータを狙う

新たに発見された情報盗聴マルウェアVoidStealerは、研究者がGoogle Chromeのアプリバインド暗号化(ABE)をバイパスできることを明かした後、懸念を引き起こしています。これは機密ブラウザデータを保護するために設計されたセキュリティ機能です。

このマルウェアは、攻撃者がメモリから直接暗号化キーを抽出できる新しい技術を導入し、更新されたシステムでもセッションハイジャッキングと認証情報窃盗を可能にします。

VoidStealer マルウェアがChromeデータを狙う

Googleはセッションクッキーの盗難による広範な悪用に対処するため、Chrome バージョン127(2024年7月)にアプリバインド暗号化を導入しました。

これらのクッキーはユーザーが認証情報を再入力することなくWebサイトにログイン状態を保つことを可能にします。しかし、盗まれた場合、攻撃者はユーザーになりすまし、アカウントにアクセスできます。

Image

ABEは、暗号化キーをChrome自体にバインドすることで、より古いデータ保護API(DPAPI)を改善しました。特権システムサービスは、Chromeだけが保存データを復号化するために使用されるマスターキーへのアクセスをリクエストできることを検証します。この設計は、ユーザー権限下で実行されるマルウェアが機密情報を抽出することを防ぐことを目的としていました。

しかし、ABEは攻撃者がシステムレベルの権限またはChromeへのコード注入が必要であると想定しており、現代のマルウェアはこれらの仮定に引き続き挑戦しています。

Image

GBHackersと共有されたレポートでKasperskyは、VoidStealerが重大な弱点を狙った洗練された方法を使用していると述べました:Chromeがメモリ内のデータを復号化する瞬間。

  • マルウェアはデバッガーとしてChromeプロセスにアタッチします。
  • これはブラウザの実行フロー内で復号化が発生する場所を識別します。
  • マスターキーがメモリにプレーンテキストで読み込まれるその正確な瞬間に実行を一時停止するためにブレークポイントが設定されます。
  • その後、マルウェアはRAMからキーを直接抽出します。

この技術は公式APIを通じてキーをリクエストしないため、ABEの保護をトリガーすることを回避します。代わりに、Chromeの内部操作を受動的に観察します。

例:銀行Webサイトにログインするユーザーを想像してください。Chromeはセッションを認証するためにセッションクッキーを復号化します。その正確な瞬間に、VoidStealerはプロセスをフリーズして復号化されたキーをコピーし、攻撃者が認証情報なしでセッションを再利用できるようにします。

Image

VoidStealerは急速なABEバイパス開発のパターンに従います。ABEのリリース直後、LummaMeduzaWhitesnakeを含むいくつかの情報盗聴マルウェアが同様の機能を主張しました。セキュリティ研究者は後に、GitHubで公開されたオープンソースツールを含む複数の機能するバイパス技術を確認しました。

この継続的な「猫と鼠」のダイナミクスは、ブラウザレベルの保護だけは進化する情報盗聴タクティクスに対抗するのに不十分であることを示しています。

VoidStealerはABEに依存するすべてのChromiumベースのブラウザに影響し、以下を含みます:

  • Google Chrome
  • Microsoft Edge
  • Brave
  • Opera
  • Vivaldi

この脅威は、マルウェア・アズ・ア・サービス(MaaS)モデルによって増幅され、サイバー犯罪者はツールをレンタルして自分たちのマルウェアを開発せずに攻撃をスケーリングできます。

軽減とセキュリティに関する推奨事項

情報盗聴の脅威へのエクスポーザーを減らすために:

  • 信頼されていないまたは違法コピーされたソースからソフトウェアをダウンロードするのを避けてください。
  • ClickFixデリバリー技術を含む新興の攻撃方法に関して最新の状態を保ってください。
  • オペレーティングシステムとブラウザを定期的に更新してください。
  • 行動検出機能を備えた信頼できるエンドポイントセキュリティソリューションを使用してください。
  • ブラウザに機密認証情報を保存するのを避けてください。代わりに、専用のパスワードマネージャーを使用してください。

VoidStealerはサイバーセキュリティの永続的な現実を強調します:攻撃者は静的な保護よりもランタイム動作をますます悪用しています。機密データが正当な使用のために復号化される限り、攻撃者はそれらのはかない露出の瞬間をターゲットし続けるでしょう。

翻訳元: https://gbhackers.com/voidstealer-malware-targets-chrome-data/

ソース: gbhackers.com
#Chrome #Chromium #MaaS #VoidStealer #セッションハイジャック #ブラウザセキュリティ #マルウェア #情報盗聴 #暗号化バイパス #認証情報窃盗

関連記事

UAC-0184はBitsadminとHTAファイルを使用してゲーテッドマルウェアを配信

Operation Ramz:詐欺およびマルウェアキャンペーンに使用された53台のサーバーを破壊

macOS マルウェアが偽のGoogleアップデートを悪用して永続化