Νέος πονοκέφαλος για όσους χρησιμοποιούν τον Google Chrome για την περιήγηση στο διαδίκτυο, καθώς οι δημιουργοί κακόβουλου λογισμικού τύπου Infostealer υποστηρίζουν ότι μπορούν να παρακάμψουν τη νέα δυνατότητα του Chrome, App-Bound Encryption, που σχεδιάστηκε για να προστατεύει ευαίσθητα δεδομένα, όπως τα cookies.
Τι είναι το App-Bound Encryption;
Όπως αναφέρει το bleepingcomputer.com, η δυνατότητα App-Bound Encryption εισήχθη στον Chrome με την ενημέρωση 127 και έχει σχεδιαστεί για να κρυπτογραφεί cookies και αποθηκευμένους κωδικούς πρόσβασης χρησιμοποιώντας μια υπηρεσία των Windows που εκτελείται με προνόμια συστήματος.
Αυτό το μοντέλο εμποδίζει το infostealer malware, το οποίο εκτελείται με τα δικαιώματα του συνδεδεμένου χρήστη, να κλέψει τα μυστικά δεδομένα που αποθηκεύονται στον Chrome browser.
Πώς οι ενημερώσεις κακόβουλου λογισμικού παρακάμπτουν την προστασία
Για να παρακάμψει αυτή την προστασία, το κακόβουλο λογισμικό θα χρειαζόταν συστημικά προνόμια ή να εισαγάγει κώδικα στον Chrome, κάτι που είναι πιθανό να προκαλέσει ειδοποιήσεις από τα εργαλεία ασφαλείας, όπως εξηγεί ο Will Harris από την ομάδα ασφαλείας του Chrome.
Ωστόσο, ερευνητές ασφαλείας όπως ο g0njxa και ο RussianPanda9xx παρατήρησαν πολλούς δημιουργούς κακόβουλου λογισμικού τύπου infostealer να ισχυρίζονται ότι έχουν εφαρμόσει έναν λειτουργικό τρόπο παράκαμψης για τα εργαλεία τους, όπως τα MeduzaStealer, Whitesnake, Lumma Stealer, Lumar (PovertyStealer), Vidar Stealer, και StealC.
Επιβεβαίωση παραβίασης
Φαίνεται ότι τουλάχιστον μερικοί από τους ισχυρισμούς είναι αληθινοί, καθώς ο g0njxa επιβεβαίωσε στο BleepingComputer ότι η τελευταία έκδοση του Lumma Stealer μπορεί να παρακάμψει τη δυνατότητα κρυπτογράφησης στο Chrome 129, την πιο πρόσφατη έκδοση του browser.
Χρονοδιάγραμμα Παραβιάσεων από Infostealer Malware
- Το Meduza και το Whitesnake εισήγαγαν τους μηχανισμούς παράκαμψής τους πριν από δύο εβδομάδες.
- Το Lumma ακολούθησε την προηγούμενη εβδομάδα και το Vidar και το StealC ενσωμάτωσαν τις δικές τους λύσεις αυτή την εβδομάδα.
Περισσότερες λεπτομέρειες για το Lumma Stealer
Αρχικά, το Lumma αντέδρασε στην εισαγωγή του App-Bound Encryption εφαρμόζοντας μια προσωρινή λύση που απαιτούσε την εκτέλεση του κακόβουλου λογισμικού με διαχειριστικά δικαιώματα. Στη συνέχεια, οι δημιουργοί του κακόβουλου λογισμικού ανέπτυξαν έναν μηχανισμό παράκαμψης που λειτουργεί με τα δικαιώματα του συνδεδεμένου χρήστη.
Οι δημιουργοί του Lumma Stealer διαβεβαίωσαν τους πελάτες τους ότι δε χρειάζεται να εκτελέσουν το κακόβουλο λογισμικό με διαχειριστικά δικαιώματα για να κλέψουν cookies.
«Προστέθηκε μια νέα μέθοδος συλλογής cookies του Chrome. Η νέα μέθοδος δεν απαιτεί διαχειριστικά δικαιώματα και/ή επανεκκίνηση, κάτι που απλοποιεί τη δημιουργία του κρυπτογραφικού build και μειώνει τις πιθανότητες ανίχνευσης, αυξάνοντας έτσι το ποσοστό επιτυχίας» – Δημιουργοί του Lumma Stealer
Η παράκαμψη του App-Bound Encryption παραμένει άγνωστη
Πώς ακριβώς επιτυγχάνεται η παράκαμψη του App-Bound Encryption παραμένει αδιευκρίνιστο, αλλά οι δημιουργοί του κακόβουλου λογισμικού Rhadamanthys σχολίασαν ότι τους πήρε μόλις 10 λεπτά για να αντιστρέψουν την κρυπτογράφηση.
Το BleepingComputer επικοινώνησε με τον τεχνολογικό γίγαντα για σχόλια σχετικά με την απάντηση των δημιουργών κακόβουλου λογισμικού στο App-Bound Encryption του Chrome, αλλά ακόμη αναμένεται απάντηση.