Há pouco tempo, o Google reforçou o Chrome com uma função pensada para proteger dados sensíveis como cookies e credenciais: Application‐Bound Encryption (ABE), uma camada que mantém a chave-prima em disco e exige um serviço com privilégios de sistema para decifrar. A ideia era fechar uma via de acesso que os roubadores de informação (infostealers) haviam explorado durante anos. No entanto, pesquisadores de segurança descobriram um novo ator que encontrou uma maneira diferente e sigilosa de derrotar essa barreira.
O achado vem documentado por Gen Digital, a empresa-mãe de Norton, Avast, AVG e Avira. No seu relatório descreve-se como uma plataforma de malware disponível como serviço, conhecida como VoidStealer, incorporou uma técnica baseada em depuração para capturar a chamada v20_master_key diretamente da memória do navegador, no preciso instante em que aparece em texto plano durante um processo legítimo de decifração.
A novidade chave não está na capacidade de ler memória - técnicas para extrair chaves já haviam sido demonstradas em ferramentas de código aberto - mas na forma: VoidStealer arranca um processo do navegador em estado suspenso e escondido, o anexa como depurador e espera que um módulo importante (por exemplo, chrome.dll ou msedge.dll) seja carregado. A partir daí localiza uma instrução concreta que referencia um texto conhecido dentro do DLL e coloca um ponto de paragem em hardware sobre essa direção.
Um breakpoint em hardware é diferente dos métodos clássicos de injeção de código ou elevação de privilégios; atua a nível do processador e pode parar temporariamente a execução de um fio quando alcança uma instrução determinada. VoidStealer aplica esse mecanismo a todos os fios do processo-alvo e aguarda que, durante o arranque do navegador — quando este força a leitura e decifração precoce de dados protegidos — a instrução marcada seja executada. Nesse instante, o malware lê os registros do fio para obter um ponteiro ao bloco de memória que contém a chave-prima em claro e a cópia fora do processo com chamadas legítimas ao sistema como ReadProcessMemory. O resultado é que, sem escalar privilégios ou injetar código, os atacantes obtêm a chave necessária para desencriptar cookies e outros segredos armazenados pelo navegador.
Segundo Gen Digital, este comportamento não surgiu do nada: a técnica guarda semelhanças com componentes de código aberto comoElevationKatz, parte do conjuntoChromeKatzque já demonstrava deficiências práticas na proteção de dados do Chrome. A diferença perigosa é que agora esta técnica passou do laboratório para o mercado criminoso, integrada num produto MaaS que se publicita em fóruns clandestinos desde o final de 2025 e que em sua versão 2.0 acrescentou este bypass.
O caso evidencia um ponto importante da segurança moderna: as mitigações que protegem os segredos em repouso podem ser vulneradas no momento exato em que uma aplicação legítima realiza operações legítimas para decifrar. O problema não é apenas a cifra em disco, mas o controle dos processos que realizam a decifração. Se um atacante consegue observar esses processos a partir de dentro - embora seja sem privilégios elevados - pode capturar as chaves quanto se materializam em memória.
Os responsáveis pelo Chrome têm sido mobilizados correcções e endurecimentos para fechar técnicas conhecidas, e o próprio conceito de ABE marcou um passo em frente frente contra ataques triviais. No entanto, o aparecimento de vetores baseados em depuração e hardware breakpoint demonstra que o jogo do gato e do rato continua: os defensores tapam buracos, os pesquisadores publicam testes de conceito e os criminosos, por vezes, integram esses testes em ferramentas comerciais.
Para usuários e equipes de segurança isso tem várias implicações práticas. Primeiro, manter o navegador e o sistema operacional atualizados continua sendo a primeira linha de defesa, porque muitos adesivos incluem endurecimento frente a técnicas de manipulação de processos. Segundo, a detecção de atividades que tentam enumerar, anexar ou depurar processos legítimos deve fazer parte do conjunto de controles do endpoint; os pontos de interrupção em hardware são mais difíceis de detectar que técnicas de injeção, mas não impossíveis para soluções avançadas de EDR e para as políticas de integridade do sistema. Finalmente, limitar a execução de binários desconhecidos e aplicar medidas de princípio de menor privilégio reduz a exposição a este tipo de ameaças.
Se você quer ler a análise técnica que originou esta notícia, Gen Digital publicou um relatório que descreve a cadeia de eventos e a lógica do atacante: Relatório do Gen Digital sobre VoidStealer. Para ver a peça de código aberto que inspirou a técnica, o projeto ChromeKatz e seu componente ElevationKatz estão disponíveis no GitHub: Repositório do ChromeKatz. Você também pode ser útil consultar as notas oficiais das versões do Chrome onde foram introduzidas melhorias de segurança relacionadas com o ABE, disponíveis no blog de versões do Google: Chrome Releases.
A mensagem final é sobrinha: as defesas aplicadas ao armazenamento seguro de segredos são necessárias, mas não suficientes por si só. Os ataques que observam e aproveitam momentos legítimos de processamento demandam uma defesa que combine adesivo constante, monitoramento de comportamento e controles de execução estritos. E enquanto os investigadores continuarem a publicar técnicas e testes de conceito, os desenvolvedores de navegadores e equipamentos de segurança terão que adaptar suas estratégias para que esses momentos de exposição sejam cada vez mais difíceis de explorar.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...