このインフォステーラーは、初めてワイルドで発見されたデバッグ手法を使用してChromeの復号化キーを特権昇格なしで抽出し、ブラウザーデータセキュリティの将来について懸念を引き起こしています。
新しいインフォステーラーがChromeのApplication-Bound Encryption(ABE)をバイパスしており、研究者によると、これまでワイルドで見たことがないデバッガーベースの技術を使用しています。
「VoidStealer」と呼ばれるこのステーラーは、2024年にChrome 127で導入されたABEを回避する方法を見つけたようです。これは、パスワードやクッキーなどの機密ブラウザーデータをより厳しい暗号化の背後にロックし、復号化を特権システムサービスに結びつけることを目的としたセキュリティ制御です。
以前はABEバイパスが存在していましたが、Chromeへのコード注入、COM/昇格サービスの悪用、およびリモートデバッグを含む技術を通じてでしたが、それらのほぼすべてが管理者権限を必要としていました。
ステーラーを最初に指摘したGenの脅威研究者Vojtěch Krejsaは、VoidStealerのバイパスを低検出と呼んでいます。「このバイパスは特権昇格もコード注入も必要とせず、代替ABEバイパス方法と比較してより隠密性の高いアプローチになっている」と彼はブログ投稿で述べています。
マスターキーを追跡する
ABEバイパスは、「v20_master-key」という重要な素材を中心に展開されています。このキーは、ブラウザーがリクエストを確認した後、クッキー、パスワード、トークンを含む保存されたブラウザーのシークレットをロック解除するものです。理論的には、ABEはこのキーを厳重に守り、マルウェアが簡単にアクセスできるような方法で公開されないようにします。
しかし、実際には、Chromeが機能するために、そのキーはまだ、たとえ一時的にであっても、実行時にプレーンテキストで存在する必要があります。
以前のバイパス技術は復号化に対処する方法を見つけました。一部は、Chromeに悪意のあるコードを挿入して正当な復号化ルーチンを呼び出すプロセス注入に依存していました。他のものはメモリダンプまたはリモートデバッグを使用して、プロセスメモリの大きなチャンクをスキャンして復号化されたデータを見つけました。より高度なアプローチは、Chromeの昇格サービスまたはCOMインターフェースを悪用して、ブラウザーに復号化された素材を渡すようだましました。
VoidStealerはより手術的なルートを取ります。Krejsaは説明しました。Chromeにデータの復号化を強制するか、メモリを広くスクレイプするのではなく、デバッガーとしてアタッチして待ちます。Chromeの復号化フローに結びついた正確な命令にハードウェアブレークポイントを配置することで、v20_master_keyがプレーンテキストでメモリに現れる正確な瞬間を傍受します。その後、標準デバッグAPIを使用してキーを読み取ります。
VoidStealerはハードウェアブレークポイントを使用します。なぜなら、コードを変更しないからです。Krejsaは説明しました。検出可能なソフトウェアブレークポイントとは異なり、ハードウェアブレークポイントはCPUレジスターに依存し、メモリは変わらずに、Chromeの自然な実行を変更しません。
多くのトリックを持つマルウェア
VoidStealerは、ABE後のインフォステーラーの進化方法がより広く変わっている一部です。マルウェアは既に複数のバイパス技術をサポートしており、必要に応じて古い注入ベースの方法にフォールバックしますが、明らかに可能な限り隠密性を優先しています。
Krejsaはまた、その開発ペースについて警告しました。2025年12月に最初に登場してから、マルウェアはバージョン間で急速に進化しており、アクティブなメンテナンスと地下市場での顧客需要の可能性を示唆しています。MaaSモデルを実行するマルウェアは、これまでに合計12回の反復を経ており、最新バージョン「v2.1」は2026年3月18日にロールアウトされました。
VoidStealerが注入と特権昇格を避けているため、従来のインジケーターは不十分な場合があります。Krejsaは述べました。彼は、防御者がブラウザープロセスへの予期しないデバッガー接続、メモリ読み取りAPIの異常な使用、およびChromeプロセス生成パターンの異常を含む行動信号に焦点を当てる必要があると述べました。
侵害の主要なインジケーター(IoC)として、研究者はVoidStealer v2.0にリンクされたサンプルを共有しました。
