新たに特定されたVoidStealerマルウェアの亜種は、コードインジェクションまたはシステムの昇格された特権を使用せずに、Google ChromeのApplication-Bound Encryption(ABE)をバイパスする初めての野生型インフォスティーラーとなりました。
VoidStealerはMalware-as-a-Serviceプラットフォームとして機能し、2025年12月中旬からダークウェブフォーラムで積極的に宣伝されています。マルウェア開発者は、機能を強化しセキュリティ対策を回避するために頻繁にツールを更新します。
最も重要な変化は、2026年3月13日にバージョン2.0がリリースされ、革新的なABEバイパス技術が導入されました。
このアップデートが危険な理由を理解するために、Chromeがデータをどのように保護しているかを知ることが役立ちます。Application-Bound Encryptionは、最高のWindows特権で実行されている専用の昇格サービスへのアクセスを制限することにより、機密ブラウザデータを保護します。
VoidStealerの革新的なバイパスの中核は、デバッガーとしてChrome またはEdgeブラウザに自身を接続して、マスター暗号化キーをインターセプトすることです。
Chromeはこの露出ウィンドウを可能な限り小さく保つためのセーフガードを実装しています。ただし、キーは数分の一秒間プレーンテキストで残る必要があります。
VoidStealerは、キーが表示される正確な瞬間にハードウェアブレークポイントを設定することにより、この小さな露出ウィンドウを悪用します。
攻撃シーケンスは、VoidStealerが一時停止状態で新しいブラウザプロセスを生成し、アプリケーションウィンドウをユーザーから隠しながら開始します。
ブラウザがメモリに必要なコンポーネントをロードすると、VoidStealerはメインブラウザモジュールが初期化されるのを待ち、特定のターゲット文字列のコードをスキャンします。
マルウェアはプロセッサレジスタを直接読み取り、gendigitalを取得してマスター暗号化キーへのポインタを取得し、簡単なメモリ読み取りコマンドで抽出します。
セキュリティチームは、正規のアプリケーションがめったにブラウザにデバッガーを接続しないため、異常なデバッグイベントを監視することでこのアクティビティを検出できます。
ディフェンダーは、非表示ウィンドウで起動するブラウザ、サードパーティプロセスからの予期しないメモリ読み取り、およびブラウザメモリにアクセスするための不正な試みも監視する必要があります。
翻訳元: https://cyberpress.org/voidstealer-evades-chrome-abe/