MalwareSchwachstellenCyberkriminalität

VoidStealer: Neue Malware knackt Chromes Verschlüsselung mit Debugger-Trick

VoidStealer: Neue Malware knackt Chromes Verschlüsselung mit Debugger-Trick
Zusammenfassung

Die Malware VoidStealer demonstriert eine beunruhigende neue Angriffsmethode, um an sensible Daten von Chrome-Nutzern zu gelangen. Das Schädlingsprogramm umgeht erstmals in der Praxis Googles Application-Bound Encryption (ABE), ein Sicherheitsfeature, das seit Juni 2024 in Chrome integriert ist und den Master-Schlüssel für die Verschlüsselung vertraulicher Browserdaten schützen soll. VoidStealer nutzt dabei einen raffinierten Debugger-Trick mit Hardware-Breakpoints, um direkt aus dem Arbeitsspeicher des Browsers auf den kritischen v20_master_key zuzugreifen – ohne Privilegien-Eskalation oder Code-Injection durchführen zu müssen. Die Malware-as-a-Service-Plattform, die seit Dezember 2025 auf Dark-Web-Foren angeboten wird, zielt darauf ab, Chrome bei der Entschlüsselung von ABE-geschützten Cookies zu überwachen und den Master-Schlüssel in diesem kurzen Moment auszulesen. Für deutsche Nutzer und Unternehmen bedeutet dies ein erhebliches Risiko: Gestohlene Browser-Daten ermöglichen es Cyberkriminellen, Passwörter, Authentifizierungscookies und persönliche Informationen zu kompromittieren. Besonders Unternehmens- und Behördenmitarbeiter sind gefährdet, da ihre sensibler Zugang zu kritischen Systemen über Browser-Daten offengelegt werden könnte.

VoidStealer nutzt eine bisher unbekannte Methode, um Chromes Sicherheitsarchitektur zu durchbrechen. Die Technik basiert auf dem Ausnutzen eines kurzen Zeitfensters, in dem der Master-Key während Verschlüsselungsvorgängen unverschlüsselt im Arbeitsspeicher vorhanden ist.

Die Funktionsweise der Attacke ist hochgradig technisch durchdacht: Die Malware startet einen versteckten Browser-Prozess im suspendierten Zustand und bindet sich selbst als Debugger ein. Anschließend wartet sie, bis die Browser-DLL (chrome.dll oder msedge.dll) geladen wird. VoidStealer scannt dann die DLL nach einer spezifischen Zeichenkette und einer bestimmten LEA-Anweisung, um diese als Hardware-Breakpoint zu nutzen. Wenn der Breakpoint während des Browser-Starts ausgelöst wird – genau dann, wenn der Browser ABE-geschützte Cookies dekodiert – liest die Malware den Register aus, der auf den unverschlüsselten Master-Key zeigt, und extrahiert ihn mittels ‘ReadProcessMemory’.

“VoidStealer ist die erste in der Wildnis beobachtete Infostealer-Malware, die diese neuartige Debugger-basierte ABE-Umgehungstechnik mit Hardware-Breakpoints anwendet”, erklärt Vojtěch Krejsa, Threat-Forscher bei Gen Digital.

Google hatte ABE als Reaktion auf zahlreiche Diebstähle von Browserdaten entwickelt. Der Mechanismus verschlüsselt den Master-Key auf der Festplatte und erfordert normalerweise die Validierung durch den Google Chrome Elevation Service, der mit Systemrechten läuft. Doch bereits mehrere Malware-Familien haben Wege gefunden, diesen Schutz zu umgehen – teilweise durch offene Quellcode-Tools wie ‘ElevationKatz’ dokumentiert.

VoidStealer in Version 2.0 hat diese Sicherheitslücke nun für sich nutzbar gemacht. Forscher vermuten, dass die Entwickler die Technik vom Open-Source-Projekt ElevationKatz übernahmen, das Teil des ChromeKatz-Toolsets ist und seit über einem Jahr öffentlich verfügbar ist.

Die Malware wird seit mindestens Mitte Dezember 2025 als MaaS-Dienst in Darknet-Foren angeboten. Dies bedeutet, dass auch weniger technisch versierte Cyberkriminelle diese Waffe einsetzen können. Deutsche Nutzer sollten ihre Browser-Installation überprüfen und sicherstellen, dass Sicherheitssoftware auf dem aktuellen Stand ist. Google wurde kontaktiert, hat aber bislang keine offizielle Stellungnahme zu diesem Bypass abgegeben. Es bleibt abzuwarten, welche Gegenmaßnahmen der Tech-Konzern ergreift.

Ähnliche Artikel