Googleは、Windowsでブラウザ認証情報を収集するインフォスティーラーの長年の脅威に対処するため、2024年7月のChrome 127でアプリバウンド暗号化(ABE)を導入しました。
ABE以前、ChromeはWindowsのData Protection API(DPAPI)のみに依存していました。ユーザーレベルの権限で実行されるマルウェアなら誰でも、それを悪用して保存されているブラウザデータを復号化することができました。
2024年10月、研究者Alex Hagenahはオープンソースのツール「Chrome-App-Bound-Encryption-Decryption」を公開し、実行可能な技術が既に流通していることを確認しました。
それ以来、Googleのパッチとスティーラー作成者の間のいたちごっこが続いており、それぞれの修正が新しい回避策を生み出しています。
2025年12月中旬にダークウェブフォーラムで最初に広告されたVoidStealerは、マルウェア・アズ・ア・サービス(MaaS)プラットフォームで、2026年3月13日のバージョン2.0で画期的なABEバイパスを導入する前に、11のバージョンを急速に反復しました。
研究者(Norton、Avast、Aviraの親会社)は、この技術を使用する野生で観察された最初のインフォスティーラーであることを確認しました。
VoidStealerは現在ChromeとMicrosoft Edgeをターゲットにしていますが、この技術はBrave、Opera、Vivaldiを含むすべてのChromiumベースのブラウザに容易に拡張可能です。Kasperskyはサイバープレスと共有されたレポートで述べています。
MaaSモデルは、犯罪関連企業が自分たちでコードを書くことなくスティーラーをデプロイできることを意味し、その潜在的なリーチを大幅に拡大します。
研究者は、正規アプリケーションがブラウザを自動的にデバッグすることはないため、デバッガーアタッチメントが高忠実度の検出信号であることに注意します。ディフェンダーは以下を監視する必要があります:
ユーザーは、信頼できないソースからソフトウェアをダウンロードすることを避け、ブラウザとWindowsを常に最新に保ち、Chromeの組み込み認証情報ストレージに依存するのではなく、専用のパスワードマネージャーを使用することをお勧めします。
翻訳元: https://cyberpress.org/voidstealer-bypasses-chrome-protection/
