Μια νέα παραλλαγή του VoidStealer infostealer έχει τραβήξει την προσοχή της κοινότητας ασφαλείας αφού έγινε το πρώτο κακόβουλο λογισμικό που είναι γνωστό ότι παρακάμπτει την κρυπτογράφηση Application-Bound (ABE) του Google Chrome χωρίς να απαιτεί εισαγωγή κώδικα ή αυξημένα προνόμια συστήματος.
Η παραλλαγή, που παρουσιάστηκε στην έκδοση 2.0 του VoidStealer στις 13 Μαρτίου 2026, χρησιμοποιεί μια τεχνική που βασίζεται σε πρόγραμμα εντοπισμού σφαλμάτων για την αθόρυβη εξαγωγή κρυπτογραφημένων διαπιστευτηρίων του προγράμματος περιήγησης απευθείας από τη μνήμη, σηματοδοτώντας μια σημαντική αλλαγή στον τρόπο με τον οποίο οι κλοπές πληροφοριών προσεγγίζουν την κλοπή διαπιστευτηρίων.
Η Google παρουσίασε το ABE τον Ιούλιο του 2024 με το Chrome 127, με στόχο να καταστήσει σημαντικά δυσκολότερη την πρόσβαση σε ευαίσθητα δεδομένα του προγράμματος περιήγησης για κακόβουλο λογισμικό, όπως αποθηκευμένους κωδικούς πρόσβασης και cookie.
Η προστασία λειτουργεί συνδέοντας το κλειδί κρυπτογράφησης — γνωστό ως το v20_master_key — σε μια υπηρεσία σε επίπεδο ΣΥΣΤΗΜΑΤΟΣ που ονομάζεται Google Chrome Elevation Service, η οποία εκτελείται με τα υψηλότερα προνόμια στα Windows.
Αν και αυτό ανέβασε σημαντικά τον πήχη, δεν εμπόδισε τους παράγοντες απειλών να βρουν πιο έξυπνους τρόπους να το αντιμετωπίσουν. Από την κυκλοφορία του ABE, έχουν προκύψει διάφορες τεχνικές παράκαμψης, καθεμία από τις οποίες φέρει διαφορετικούς συμβιβασμούς μεταξύ μυστικότητας και αξιοπιστίας.
Οι αναλυτές της GenDigital εντόπισαν το VoidStealer ως πληροφοριοκλοπή Malware-as-a-Service (MaaS) που εμφανίστηκε για πρώτη φορά στα φόρουμ του darkweb, συμπεριλαμβανομένου του HackForums, στα μέσα Δεκεμβρίου 2025.
.webp.jpeg)
Το κακόβουλο λογισμικό εξελίχθηκε γρήγορα, προχωρώντας από την έκδοση 1.0 στην έκδοση 2.1 σε λίγο περισσότερο από τρεις μήνες.
Ενώ οι προηγούμενες εκδόσεις βασίζονταν σε μια γνωστή παράκαμψη με βάση την έγχυση, η έκδοση 2.0 εισήγαγε μια νέα προσέγγιση προσαρμοσμένη από το έργο ανοιχτού κώδικα ElevationKatz, καθιστώντας το VoidStealer τον πρώτο infostealer που εντοπίστηκε στη φύση χρησιμοποιώντας αυτήν την τεχνική.
.webp.jpeg)
Ο πραγματικός κίνδυνος αυτής της παραλλαγής έγκειται στο ασυνήθιστα χαμηλό αποτύπωμα ανίχνευσης. Οι περισσότερες υπάρχουσες τεχνικές παράκαμψης ABE είτε απαιτούν προνόμια σε επίπεδο ΣΥΣΤΗΜΑΤΟΣ είτε εισάγουν κώδικα απευθείας στο πρόγραμμα περιήγησης — ενέργειες που τα εργαλεία ασφαλείας μπορούν να συλλάβουν πιο εύκολα.
Η νεότερη μέθοδος του VoidStealer αποφεύγει και τα δύο, αντ’ αυτού βασίζεται σε τυπικά API εντοπισμού σφαλμάτων των Windows που προσελκύουν πολύ λιγότερη προσοχή σε τυπικά περιβάλλοντα. Αυτό καθιστά πιο δύσκολο τον εντοπισμό και ο κύκλος ταχείας ενημέρωσης του κακόβουλου λογισμικού υποδηλώνει ενεργή, συνεχή ανάπτυξη.
Το VoidStealer αυτή τη στιγμή στοχεύει τόσο το Google Chrome όσο και το Microsoft Edge. Με την τεχνική να είναι πλέον διαθέσιμη στο κοινό μέσω του ElevationKatz, οι ερευνητές αναμένουν ότι και άλλοι infotealers θα ακολουθήσουν το παράδειγμά τους στο εγγύς μέλλον.
Μηχανισμός παράκαμψης ABE με βάση τον εντοπισμό σφαλμάτων
Ο πυρήνας της νέας παράκαμψης του VoidStealer περιλαμβάνει τη σύνδεση στο πρόγραμμα περιήγησης Chrome ή Edge ως πρόγραμμα εντοπισμού σφαλμάτων και τον ορισμό σημείων διακοπής υλικού ακριβώς τη στιγμή που v20_master_key υπάρχει εν συντομία στη μνήμη ως απλό κείμενο.
Το VoidStealer ξεκινά με τη δημιουργία μιας διαδικασίας προγράμματος περιήγησης χρησιμοποιώντας CreateProcessW με SW_HIDE και CREATE_SUSPENDED σημαίες, στη συνέχεια συνεχίζει αμέσως και επισυνάπτει ένα πρόγραμμα εντοπισμού σφαλμάτων μέσω DebugActiveProcess.
.w.jpeg)
Στη συνέχεια ακούει για συμβάντα εντοπισμού σφαλμάτων WaitForDebugEventπαρακολουθώντας κάθε DLL καθώς φορτώνεται στο χώρο μνήμης του προγράμματος περιήγησης.
.webp)
Μια φορά chrome.dll ή msedge.dll φορτώνει, χρησιμοποιεί το VoidStealer ReadProcessMemory για σάρωση των DLL .rdata τμήμα για τη χορδή OSCrypt.AppBoundProvider.Decrypt.ResultCode — το ακριβές σημείο στον κώδικα του Chrome όπου το v20_master_key εμφανίζεται εν συντομία ως απλό κείμενο.
Στη συνέχεια σαρώνει το .text ενότητα για να εντοπίσετε την αντιστοίχιση LEA εντολή, η οποία γίνεται η ακριβής διεύθυνση για το σημείο διακοπής.
Τα σημεία διακοπής υλικού τοποθετούνται σε όλα τα νήματα του προγράμματος περιήγησης γράφοντας στο DR0 και DR7 εγγραφές εντοπισμού σφαλμάτων μέσω SetThreadContextχωρίς ποτέ να τροποποιήσετε τη μνήμη του προγράμματος περιήγησης.
Όταν ενεργοποιείται το σημείο διακοπής, το R15 εγγραφείτε στο Chrome ή R14 Ο καταχωρητής για το Edge κρατά έναν άμεσο δείκτη στο v20_master_keyτο οποίο το VoidStealer στη συνέχεια εξάγει χρησιμοποιώντας μόνο δύο ReadProcessMemory κλήσεις.
.webp.jpeg)
Οι υπερασπιστές θα πρέπει να αντιμετωπίζουν οποιαδήποτε διεργασία που προσαρτά αυτόνομα ένα πρόγραμμα εντοπισμού σφαλμάτων σε ένα πρόγραμμα περιήγησης ως σοβαρή κόκκινη σημαία, καθώς οι νόμιμες εφαρμογές δεν συμπεριφέρονται με αυτόν τον τρόπο.
Παρακολούθηση ανάγνωσης μνήμης προγράμματος περιήγησης από διαδικασίες τρίτων, επισήμανση προγραμμάτων περιήγησης που ξεκίνησε με SW_HIDE ή ακέφαλες σημαίες, και ειδοποίηση για απροσδόκητα DebugActiveProcess Τα προγράμματα περιήγησης στόχευσης κλήσεων είναι όλα δυνατές ευκαιρίες ανίχνευσης.
Ο γνωστός δείκτης συμβιβασμού για το VoidStealer v2.0 είναι: f783fde5cf7930e4b3054393efadd3675b505cbef8e9d7ae58aa35b435adeea4.
