Исследователи и профильные издания сообщили о новой версии вредоносной программы VoidStealer, которая умеет обходить защиту Chrome под названием Application-Bound Encryption и извлекать из памяти браузера главный ключ шифрования. После этого злоумышленники могут расшифровывать чувствительные данные, хранящиеся в браузере, включая пароли, cookie-файлы и платёжные данные.
Шифрование с привязкой к приложению, Google внедрила в Chrome 127 на Windows в июле 2024 года. Смысл механизма в том, чтобы не позволять любой программе, запущенной от имени пользователя, просто взять и расшифровать данные браузера. Google объясняла, что при такой схеме злоумышленнику нужно либо получить системные привилегии, либо внедрить код в сам Chrome, а это заметнее для средств защиты.
Но теперь появился более изящный способ обхода. По данным Gen, VoidStealer стал первым стилером, который использует отладочный метод обхода этой защиты. Вместо повышения привилегий или внедрения кода в браузер он подключается к процессу Chrome как отладчик, ставит аппаратные точки останова и ловит момент, когда главный ключ v20_master_key на короткое время оказывается в памяти в открытом виде. После этого вредоносная программа считывает ключ и может использовать его для расшифровки данных.
Новый метод не требует ни повышения привилегий, ни инъекции кода, а значит может оставлять меньше заметных следов. Gen пишет, что именно это делает технику более скрытной по сравнению с альтернативными способами обхода. То есть речь идёт о новом подходе к извлечению главного ключа Chrome, который помогает обходить штатную защиту браузера.
По данным Gen Threat Labs, сам VoidStealer продвигается как Malware-as-a-Service, то есть «вредоносное ПО как услуга», как минимум с декабря 2025 года. Исследователи восстановили примерную хронологию версий и указывают, что именно версия 2.0, заявленная 13 марта 2026 года, получила новый способ обхода Application-Bound Encryption. Уже 18 марта появилась версия 2.1. Эти даты основаны на объявлениях разработчиков вредоноса на подпольных форумах, поэтому исследователи отдельно уточняют, что возможны небольшие расхождения.
Есть и ещё одна важная деталь. Gen считает, что разработчики VoidStealer не изобрели этот метод с нуля, а взяли его из уже опубликованного открытого проекта ElevationKatz. Исследователи пишут, что по их анализу реализация VoidStealer напрямую основана на этом публичном инструменте, а значит подобные техники уже доступны не только исследователям, но и авторам вредоносного ПО.
Это не первый случай, когда стилеры приспосабливаются к новой защите Chrome. Ещё в 2024 году BleepingComputer писал, что разные семейства инфостилеров начали искать и внедрять способы обхода Application-Bound Encryption вскоре после её появления. Тогда Google прямо говорила, что ожидает смещения атак в сторону более заметных техник, например инъекции или чтения памяти. Elastic Security Labs также подтверждала, что после выхода Chrome 127 несколько семейств вредоносного ПО начали применять разные методы обхода этой защиты.
На практике это означает следующее: защита Chrome не «сломана полностью», но злоумышленники продолжают искать способы обойти её точечно. Хотя Google изначально и не обещала абсолютную неуязвимость: компания говорила, что задача механизма — повысить стоимость атаки, сделать её сложнее и заметнее для средств защиты.
Что могут украсть такие программы? Речь идёт о данных браузера, которые защищаются ABE: это cookie-файлы, сохранённые пароли, платёжные данные и другие постоянные токены аутентификации. Если злоумышленник получает главный ключ, он может перейти от заражения устройства к краже учётных данных, сессионных cookie и платёжной информации.
Для компаний и обычных пользователей это ещё один аргумент в пользу классических мер защиты, которые работают против стилеров независимо от конкретной техники: ограничение запуска непроверенных файлов, контроль поведения процессов, защита конечных устройств, обновление браузеров и операционной системы, а также осторожность с пиратским ПО, «кряками», поддельными установщиками и файлами из мессенджеров. Сам механизм ABE особенно полезен в средах, где пользователи не могут свободно запускать всё подряд с повышенными правами, но история с VoidStealer показывает, что одной браузерной защиты уже недостаточно.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
