Graças a novas atualizações, o malware Infostealer ignora as novas defesas contra roubo de cookies do Chrome.
A App-Bound Encryption foi introduzida no Chrome 127 e foi projetada para criptografar cookies e senhas armazenadas usando um serviço do Windows que é executado com privilégios de sistema.
Este modelo não permite que o malware infostealer, que é executado com as permissões do usuário conectado, roube segredos armazenados no navegador Chrome.
Mas agora, os desenvolvedores de malware Infostealer lançaram atualizações alegando ignorar o recurso App-Bound Encryption recentemente introduzido no Google Chrome para proteger dados confidenciais, como cookies.
Infostealer ignora as novas defesas contra roubo de cookies
Sim. O malware Infostealer ignora as novas defesas contra roubo de cookies do Chrome. Para ignorar essa proteção, o malware precisaria de privilégios de sistema ou injetar código no Chrome, ambas ações barulhentas que provavelmente disparariam avisos de ferramentas de segurança, disse Will Harris da equipe de segurança do Chrome.
No entanto, os pesquisadores de segurança g0njxa e também RussianPanda9xx observaram vários desenvolvedores de infostealer se gabando de terem implementado um bypass funcional para suas ferramentas (MeduzaStealer, Whitesnake, Lumma Stealer, Lumar (PovertyStealer), Vidar Stealer, StealC).
Parece que pelo menos algumas das alegações são reais, pois g0njxa confirmou para o BleepingComputer que a variante mais recente do Lumma Stealer pode ignorar o recurso de criptografia no Chrome 129, a versão mais recente do navegador.
O pesquisador testou o malware em um sistema Windows 10 Pro em um ambiente sandbox. Em termos de tempo, Meduza e WhiteSnake implementaram seus mecanismos de bypass há mais de duas semanas, Lumma na semana passada e Vidar e StealC esta semana.
A Lumar respondeu inicialmente à Criptografia Vinculada ao Aplicativo implementando uma solução temporária que exigia o lançamento do malware com direitos de administrador, mas seguiu com um mecanismo de bypass que funciona com os privilégios do usuário conectado.
Os desenvolvedores do Lumma Stealer garantiram ao cliente que não precisam executar o malware com privilégios de administrador para que o roubo de cookies funcione.
“Adicionou um novo método de coleta de cookies do Chrome. O novo método não requer direitos de administrador e/ou reinicialização, o que simplifica a construção da cripta e reduz as chances de detecção, aumentando assim a taxa de knock.” – desenvolvedores do Lumma Stealer
Como exatamente o bypass da Criptografia Vinculada ao Aplicativo é alcançado permanece não revelado, mas os autores do malware Rhadamanthys comentaram que levaram 10 minutos para reverter a criptografia.