Infostealer ignora as novas defesas contra roubo de cookies

Graças a novas atualizações, o malware Infostealer ignora as novas defesas contra roubo de cookies do Chrome.

A App-Bound Encryption foi introduzida no Chrome 127 e foi projetada para criptografar cookies e senhas armazenadas usando um serviço do Windows que é executado com privilégios de sistema.

Este modelo não permite que o malware infostealer, que é executado com as permissões do usuário conectado, roube segredos armazenados no navegador Chrome.

Mas agora, os desenvolvedores de malware Infostealer lançaram atualizações alegando ignorar o recurso App-Bound Encryption recentemente introduzido no Google Chrome para proteger dados confidenciais, como cookies.

Infostealer ignora as novas defesas contra roubo de cookies

Infostealer ignora as novas defesas contra roubo de cookies
Infostealer ignora as novas defesas contra roubo de cookies

Sim. O malware Infostealer ignora as novas defesas contra roubo de cookies do Chrome. Para ignorar essa proteção, o malware precisaria de privilégios de sistema ou injetar código no Chrome, ambas ações barulhentas que provavelmente disparariam avisos de ferramentas de segurança, disse Will Harris da equipe de segurança do Chrome.

No entanto, os pesquisadores de segurança g0njxa e também RussianPanda9xx observaram vários desenvolvedores de infostealer se gabando de terem implementado um bypass funcional para suas ferramentas (MeduzaStealer, Whitesnake, Lumma Stealer, Lumar (PovertyStealer), Vidar Stealer, StealC).

Infostealer ignora as novas defesas contra roubo de cookies
Infostealer ignora as novas defesas contra roubo de cookies – O ladrão do Whitesnake pegando cookies do Chrome 128 (Fonte: @g0njxa)

Parece que pelo menos algumas das alegações são reais, pois g0njxa confirmou para o BleepingComputer que a variante mais recente do Lumma Stealer pode ignorar o recurso de criptografia no Chrome 129, a versão mais recente do navegador.
Infostealer ignora as novas defesas contra roubo de cookies
Cookies extraídos do Chrome 129, usando o Lumma mais recente (Fonte: @g0njxa)

O pesquisador testou o malware em um sistema Windows 10 Pro em um ambiente sandbox. Em termos de tempo, Meduza e WhiteSnake implementaram seus mecanismos de bypass há mais de duas semanas, Lumma na semana passada e Vidar e StealC esta semana.

A Lumar respondeu inicialmente à Criptografia Vinculada ao Aplicativo implementando uma solução temporária que exigia o lançamento do malware com direitos de administrador, mas seguiu com um mecanismo de bypass que funciona com os privilégios do usuário conectado.

Os desenvolvedores do Lumma Stealer garantiram ao cliente que não precisam executar o malware com privilégios de administrador para que o roubo de cookies funcione.

“Adicionou um novo método de coleta de cookies do Chrome. O novo método não requer direitos de administrador e/ou reinicialização, o que simplifica a construção da cripta e reduz as chances de detecção, aumentando assim a taxa de knock.” – desenvolvedores do Lumma Stealer

Como exatamente o bypass da Criptografia Vinculada ao Aplicativo é alcançado permanece não revelado, mas os autores do malware Rhadamanthys comentaram que levaram 10 minutos para reverter a criptografia.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.