VoidStealer umgeht App-Bound-Encryption von Chrome über den Debugger

Zusammenfassung

Die Autoren des VoidStealer-Trojaners haben einen Weg gefunden, eine Schutzfunktion von Google Chrome auszuhebeln, die Session-Cookies und andere sensible Daten absichern soll. Wie Kaspersky berichtet, handelt es sich um die jüngste erfolgreiche Umgehung der App-Bound Encryption (ABE), die Google im Juli 2024 eingeführt hat. ABE schützt nicht nur Chrome, sondern auch weitere Chromium-basierte Browser, die das Verfahren nutzen – darunter Microsoft Edge, Opera, Vivaldi und Brave. Google hatte ABE gezielt entwickelt, um Cookie-Daten unter Windows vor Infostealern zu schützen. Die in Windows vorhandene Data Protection API (DPAPI) verhindert nicht, dass schädliche Anwendungen wie Infostealer auf gespeicherte Cookies und Passwörter zugreifen, indem sie sich als angemeldeter Nutzer ausgeben. ABE sollte dieses Problem lösen, indem ausschließlich die Chrome-Anwendung selbst gespeicherte Daten entschlüsseln kann – und nicht jeder Prozess, der unter dem Konto des legitimen Nutzers läuft. Die VoidStealer-Technik unterläuft genau diesen Schutz und zeigt erneut, dass Browser ein bevorzugtes Angriffsziel bleiben.

Der entscheidende Unterschied zu früheren ABE-Umgehungen liegt laut Kaspersky-Forscherin Alanna Titterington im Ansatzpunkt: VoidStealer zielt auf den Moment, in dem Chrome Daten entschlüsseln muss, um sich bei einer Website anzumelden oder auf gespeicherte Zugangsdaten zuzugreifen. In diesem Augenblick liegt der Master-Schlüssel im Klartext im Arbeitsspeicher des Browsers – und genau dieses kurze Zeitfenster nutzen die Angreifer aus.

Um den Moment abzupassen, hängt sich die Malware als Debugger an den Browser, ein Werkzeug, das Entwickler legitim zur Fehlersuche einsetzen. Anschließend identifiziert sie die exakte Stelle im Programmablauf, an der die Entschlüsselung stattfindet, und pausiert den Prozess in diesem Augenblick. So lässt sich der Schlüssel direkt aus dem Speicher auslesen und der Schutzmechanismus aushebeln.

Google führte ABE ein, um die höchsten Schutzmechanismen des Betriebssystems zu nutzen – etwa die Keychain-Dienste unter macOS oder die systemeigenen Wallets unter Linux. Unter Windows sollte ABE die Schwäche der DPAPI ausgleichen. Die Architekten der Funktion gingen laut Titterington davon aus, dass ein Infostealer entweder seine Rechte auf Systemebene ausweiten oder Schadcode direkt in Chrome einschleusen müsste, um an ABE-geschützte Daten zu gelangen. Theoretisch hätte dies Angriffe auf Chrome deutlich erschweren und die Wirksamkeit verbreiteter Infostealer verringern sollen.

In der Praxis fanden Sicherheitsforscher und Malware-Autoren jedoch fast unmittelbar nach der Einführung Wege, den Schutz zu umgehen. Die Autoren von Infostealern wie Meduza Stealer, Whitesnake, Lumma Stealer und Lumar konnten auch nach der Einführung von ABE weiterhin Cookie-Daten und andere Geheimnisse aus Chrome abgreifen.

Auch Forscher demonstrierten entsprechende Methoden. Titterington verwies auf Alex Hagenah, der zeigte, wie sich trotz ABE Cookies, Passwörter, Zahlungsdaten und Token aus Chrome extrahieren lassen. Seine Technik kombinierte dateilose Ausführung im Arbeitsspeicher, Process Hollowing, direkte Systemaufrufe und weitere Tarnmethoden, um auf verschlüsselte Daten zuzugreifen, als handele es sich um reguläre Chrome-Aktivität. Zudem legte CyberArk im vergangenen Jahr eine als C4 bezeichnete Angriffstechnik offen, mit der sich Chrome-Cookies selbst aus einem Konto mit geringen Rechten entschlüsseln ließen.

Der Fall verdeutlicht, wie sehr Browser und Browser-Erweiterungen ins Visier von Angreifern geraten sind. Da Unternehmen immer mehr Arbeitsabläufe in Web-Anwendungen verlagern, sind Browser zu Sammelstellen für Authentifizierungstoken, Zugangsdaten, Finanzinformationen und weitere sensible Daten geworden.

VoidStealer umgeht App-Bound-Encryption von Chrome über den Debugger

Ähnliche Artikel

Neueste Artikel