Експерти з кібербезпеки виявили тривожну тенденцію: розробники інфостилерів (шкідливих програм для крадіжки даних) знайшли способи обійти нову функцію захисту Google Chrome під назвою App-Bound Encryption. Ця функція, впроваджена влітку 2023 року з випуском Chrome 127, була розроблена для шифрування файлів cookie та збережених паролів, щоб захистити конфіденційні дані користувачів.
Як працює App-Bound Encryption і чому це важливо
App-Bound Encryption використовує службу Windows з системними привілеями для шифрування важливих даних браузера. Теоретично, це мало б запобігти крадіжці інформації шкідливими програмами, що працюють з правами звичайного користувача. Для обходу такого захисту зловмисникам потрібні системні привілеї, отримання яких зазвичай не залишається непоміченим.
Інфостилери знаходять шляхи обходу
Однак, згідно з повідомленнями дослідників безпеки g0njxa та RussianPanda9xx, розробники кількох відомих інфостилерів вже заявили про успішний обхід цього захисту. Серед них:
- MeduzaStealer
- Whitesnake
- Lumma Stealer
- Lumar (PovertyStealer)
- Vidar Stealer
- StealC
Видання Bleeping Computer підтвердило, що принаймні деякі з цих заяв відповідають дійсності. Експерт g0njxa перевірив і підтвердив, що остання версія Lumma дійсно здатна обійти захист у Chrome 129 – найновішій версії браузера.
Хронологія розробки обхідних механізмів
За інформацією фахівців, розробники різних інфостилерів впровадили свої механізми обходу App-Bound Encryption у такі терміни:
- Meduza і WhiteSnake: близько двох тижнів тому
- Lumma: минулого тижня
- Vidar і StealC: цього тижня
Цікаво, що розробники Lumar спочатку створили тимчасове рішення, яке вимагало запуску шкідливої програми з правами адміністратора. Згодом вони розробили повноцінний механізм обходу, що працює з привілеями звичайного користувача.
Швидкість розробки обхідних механізмів викликає занепокоєння
Особливе занепокоєння викликає швидкість, з якою зловмисники знаходять способи обходу нових захисних механізмів. За словами розробників малвару Rhadamanthys, їм знадобилося лише близько 10 хвилин, щоб знайти спосіб обійти шифрування. Це свідчить про високий рівень кваліфікації кіберзлочинців та необхідність постійного вдосконалення захисних механізмів.
Хоча точні методи обходу App-Bound Encryption поки залишаються невідомими, ситуація підкреслює важливість комплексного підходу до кібербезпеки. Користувачам рекомендується регулярно оновлювати браузери та операційні системи, використовувати надійні паролі та двофакторну автентифікацію, а також бути обережними при роботі з підозрілими файлами та посиланнями. Розробникам браузерів та систем безпеки, у свою чергу, необхідно продовжувати вдосконалювати захисні механізми, щоб протистояти постійно еволюціонуючим загрозам.