Vor nicht langer Zeit, Google verstärkt Chrome mit einer Funktion entwickelt, um sensible Daten wie Cookies und Anmeldeinformationen zu schützen: Anwendungs-Bound-Verschlüsselung (EBA), eine Schicht, die den Master-Schlüssel auf der Festplatte verschlüsselt hält und einen Dienst mit System-Privilegien benötigt, um sie zu entschlüsseln. Die Idee war, einen Zugangspfad zu schließen, den die Informationsräuber (Infostealer) seit Jahren ausgenutzt hatten. Sicherheitsforscher haben jedoch einen neuen Schauspieler entdeckt, der einen anderen und stehlen Weg gefunden hat, diese Barriere zu besiegen.
Die Entdeckung wird von Gen Digital, der Muttergesellschaft von Norton, Avast, AVG und Avira dokumentiert. Sein Bericht beschreibt, wie eine Malware-Plattform als Service - bekannt als VoidStealer - eine Debugging-Technik einführt, um den Anruf zu erfassen v20 _ Meister _ Schlüssel direkt aus dem Browser-Speicher, im genauen Moment erscheint es in flachem Text während eines legitimen Entschlüsselungsprozesses.
Die Schlüsselneuheit ist nicht in der Fähigkeit, Speicher zu lesen - Techniken zum Extrahieren von Schlüsseln wurden bereits in Open Source-Tools gezeigt - aber in der Form: VoidStealer startet einen Browser-Prozess in einem suspendierten und versteckten Zustand, befestigt es als Debugger und wartet auf ein wichtiges Modul (z.B. chrome.dll oder msedge.dll) zu laden. Von dort aus findet es eine bestimmte Anweisung, die einen bekannten Text innerhalb der DLL bezeichnet und stellt eine Hardware Unterbrechungspunkt über diese Adresse.
Ein Hardware Breakpoint unterscheidet sich von den klassischen Methoden der Code-Injektion oder Privileg-Hebeung; es wirkt auf der Prozessorebene und kann vorübergehend die Ausführung eines Fadens stoppen, wenn es eine bestimmte Anweisung erreicht. VoidStealer wendet diesen Mechanismus für alle Threads des Zielprozesses an und wartet darauf, dass während des Browser-Startups die markierte Anweisung ausgeführt wird - wenn er das Frühlesen und Entschlüsseln geschützter Daten zwingt. In diesem Moment liest die Malware die Thread-Datensätze, um einen Zeiger in den Speicherblock zu bekommen, der den klaren Master-Schlüssel und die Off-Prozess-Kopie mit legitimen Systemaufrufen wie ReadProcessMemory enthält. Das Ergebnis ist, dass ohne Klettern Privilegien oder Injizieren von Code, Angreifer erhalten den Schlüssel benötigt, um Cookies und andere Geheimnisse, die vom Browser gespeichert.
Laut Gen Digital kam dieses Verhalten nicht aus dem Nichts: die Technik hat Ähnlichkeiten mit Open Source Komponenten wieHöheKatz, Teil des GanzenChromeKatzdie bereits praktische Schwächen im Datenschutz von Chrome gezeigt. Der gefährliche Unterschied ist, dass diese Technik nun vom Labor auf den kriminellen Markt umgezogen ist, integriert in ein MaaS-Produkt, das seit Ende 2025 in geheimen Foren beworben wird und dass in seiner Version 2.0 diesen Bypass hinzugefügt.
Der Fall hebt einen wichtigen Punkt der modernen Sicherheit hervor: Die Minderungen, die die Geheimnisse im Ruhezustand schützen, können im genauen Moment verletzt werden, wenn eine legitime Anwendung legitime Operationen durchführt, um sie zu entschlüsseln. Das Problem ist nicht nur die Festplattenverschlüsselung, sondern die Steuerung der Prozesse, die die Entschlüsselung bilden.. Wenn ein Angreifer diese Prozesse von innen - auch ohne hohe Privilegien - beobachten kann, kann er die Schlüssel erfassen, sobald sie im Gedächtnis materialisieren.
Chrome-Leiter haben Korrekturen und Härten eingesetzt, um bekannte Techniken zu schließen, und das EBA-Konzept selbst war ein Schritt vorwärts gegen triviale Angriffe. Die Entstehung von reinigungsbasierten Vektoren und Breakpoint-Hardware zeigt jedoch, dass das Spiel von Katze und Maus weitergeht: Verteidiger decken Löcher, Forscher veröffentlichen Konzepttests und Kriminelle integrieren diese Tests manchmal in kommerzielle Tools.
Für Benutzer und Sicherheitsausrüstung hat dies einige praktische Auswirkungen. Erstens bleibt die bisherige Beibehaltung des Browsers und des Betriebssystems die erste Verteidigungslinie, da viele Patches die Aushärtung gegen Prozessbehandlungstechniken beinhalten. Zweitens sollte der Nachweis von Aktivitäten, die versuchen, legitime Prozesse aufzulisten, zu befestigen oder zu reinigen, Teil des Endpunkts der Kontrollen sein; Hardware-Unterbrechungspunkte sind schwieriger zu erkennen als Injektionstechniken, aber nicht unmöglich für fortgeschrittene EDR-Lösungen und Systemintegritätspolitiken. Schließlich verringert die Begrenzung der Ausführung unbekannter Binäre und die Anwendung weniger privilegierter Grundsatzmaßnahmen die Exposition gegenüber solchen Bedrohungen.
Wenn Sie die technische Analyse lesen möchten, die zu dieser Nachricht führte, veröffentlichte Gen Digital einen Bericht, der die Kette der Ereignisse und die Logik des Angreifers beschreibt: Gen Digitaler Bericht über VoidStealer. Um das Open Source-Stück zu sehen, das die Technik inspirierte, sind das ChromeKatz-Projekt und seine ElevationKatz-Komponente in GitHub verfügbar: ChromeKatz Repository. Es kann auch nützlich sein, die offiziellen Notizen der Chrome-Versionen zu konsultieren, in denen EBA-bezogene Sicherheitsverbesserungen eingeführt wurden, verfügbar auf dem Google-Version Blog: Chrome Releases.
Die letzte Botschaft ist nüchtern: Die Verteidigungen, die auf die sichere Speicherung von Geheimnissen angewendet werden, sind notwendig, aber nicht allein ausreichend. Die Angriffe, die die legitimen Zeiten der Verfolgung beobachten und nutzen, fordern eine Verteidigung, die ständige Patching, Verhaltensüberwachung und strenge Ausführungskontrollen kombiniert. Und da Forscher weiterhin Techniken und Konzepttests veröffentlichen, müssen Browser-Entwickler und Sicherheitsteams ihre Strategien anpassen, um diese Belichtungszeiten immer schwieriger zu nutzen.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...