VoidStealer wird laut Gen Digital als Malware-as-a-Service (MaaS) seit mindestens Mitte Dezember 2025 in Foren des Darknets angeboten. Die neue ABE-Umgehung führte die Schadsoftware mit Version 2.0 ein.
Der Kniff besteht darin, einen kurzen Moment auszunutzen, in dem Chromes v20_master_key während der Entschlüsselung unverschlüsselt im Speicher vorliegt. Dazu startet VoidStealer einen pausierten und verborgenen Browserprozess, hängt sich als Debugger an und wartet, bis die Ziel-DLL des Browsers (chrome.dll oder msedge.dll) geladen wird.
Ist die DLL geladen, durchsucht die Malware sie nach einer bestimmten Zeichenkette sowie der LEA-Instruktion, die darauf verweist, und nutzt deren Adresse als Ziel für einen Hardware-Breakpoint. Diesen Breakpoint setzt sie über bestehende und neu erzeugte Browser-Threads hinweg. Löst er beim Start aus, während der Browser geschützte Daten entschlüsselt, liest VoidStealer das Register aus, das auf den unverschlüsselten v20_master_key zeigt, und extrahiert ihn mit der Funktion ReadProcessMemory.
Der ideale Zeitpunkt dafür ist nach Angaben von Gen Digital der Browserstart, weil die Anwendung dann früh ABE-geschützte Cookies lädt und so die Entschlüsselung des Hauptschlüssels erzwingt.
“VoidStealer ist der erste in freier Wildbahn beobachtete Infostealer, der eine neuartige, debugger-basierte Technik zur Umgehung der Application-Bound Encryption übernimmt, die Hardware-Breakpoints nutzt, um den v20_master_key direkt aus dem Browserspeicher zu extrahieren”, erklärt Vojtěch Krejsa, Threat Researcher bei Gen Digital.
Nach Einschätzung der Forscher hat VoidStealer diese Technik vermutlich nicht selbst entwickelt, sondern aus dem quelloffenen Projekt ElevationKatz übernommen. Dieses gehört zum Werkzeugkasten ChromeKatz, der Schwächen in Chrome beim Auslesen von Cookies demonstriert. Trotz einiger Unterschiede im Code scheint die Umsetzung auf ElevationKatz zu basieren, das seit mehr als einem Jahr verfügbar ist.
Google hatte ABE als Schutzmechanismus eingeführt und gegen frühere Umgehungen Korrekturen und Verbesserungen vorgenommen; laut dem Bericht hatten neuere Malware-Versionen jedoch weiterhin Erfolg mit anderen Methoden. BleepingComputer bat Google um eine Stellungnahme zu dieser von Angreifern genutzten Umgehungsmethode, erhielt bis zum Redaktionsschluss aber keine Antwort.
