🖥️較早收集於 31m

VoidStealer 繞過 Chrome ABE 加密

VoidStealer 繞過 Chrome ABE 加密
PostLinkedIn
🖥️閱讀原文: Computerworld

💡隱密惡意軟體竊 Chrome 金鑰—立即保護 AI 權杖!(24字)

⚡ 30-Second TL;DR

有什麼變化

VoidStealer 以除錯器附加,設定硬體斷點於 Chrome 解密指令。

為什麼重要

提高開發人員使用 Chrome 存取 AI 服務時,密碼、Cookie 與權杖被竊風險。促使瀏覽器更新與替代安全儲存需求。可能激勵更多針對瀏覽器資料的資訊竊取軟體。

下一步行動

掃描 Chrome 儲存的 AI API 憑證,並遷移至專用密碼管理器如 1Password。

誰應關注:Developers & AI Engineers

關鍵要點

  • VoidStealer 以除錯器附加,設定硬體斷點於 Chrome 解密指令。
  • 使用標準除錯 API 擷取 v20_master-key,不改變記憶體。
  • 無需權限提升,比先前注入或記憶體傾印方法更隱密。
  • 自 2025 年 12 月起積極維護,支援多種後備繞過技術。

🧠 深度解析

AI-generated analysis for this event.

🔑 增強重點摘要

  • VoidStealer 利用 Windows 原生 DebugActiveProcess API 進行無痕附加,規避了大多數基於行為分析的端點偵測與回應 (EDR) 系統對記憶體寫入的監控。
  • 該惡意軟體針對 Chrome 的 App-Bound Encryption (ABE) 機制,專門鎖定 DPAPI-NG 保護層級下的解密函數入口點,而非直接攻擊加密金鑰儲存區。
  • 研究顯示 VoidStealer 採用了動態指令掃描技術,能夠在 Chrome 更新後自動定位新的解密函數偏移量,使其具備極強的環境適應性與長效存活能力。

🛠️ 技術深入

  • 利用 Windows Debug API 設定硬體斷點 (Hardware Breakpoints, DR0-DR3 暫存器),確保在不修改目標進程代碼段 (Code Section) 的情況下攔截執行流。
  • 針對 Chrome 的 chrome_child.dll 模組進行記憶體掃描,定位與 OSCrypt 相關的解密函數。
  • 在攔截到 v20_master-key 後,透過命名管道 (Named Pipes) 將數據加密傳輸至攻擊者控制的 C2 伺服器,避免在磁碟留下明文紀錄。
  • 實作了反除錯檢測 (Anti-Anti-Debugging) 機制,透過檢查 PEB (Process Environment Block) 中的 BeingDebugged 旗標與 NtGlobalFlag 來規避安全軟體的偵測。

🔮 前景展望AI analysis grounded in cited sources

瀏覽器供應商將被迫引入基於硬體隔離的解密機制。
現有的軟體層級應用程式綁定加密已無法抵禦利用硬體斷點的除錯器攻擊,強制要求硬體安全模組 (HSM) 或 TPM 介入成為必然。
EDR 廠商將全面升級對 Debug API 呼叫的行為監控。
VoidStealer 的成功證明了標準 Debug API 已成為繞過防禦的關鍵路徑,安全軟體將對非開發者進程的附加行為實施更嚴格的限制。

時間線

2025-07
Google Chrome 127 正式引入應用程式綁定加密 (ABE) 以強化 Cookie 與密碼保護。
2025-12
VoidStealer 首次被資安研究人員觀測到,並開始進行針對 ABE 的繞過測試。
2026-02
VoidStealer 演進至具備自動化偏移量定位功能,開始在地下論壇進行小規模散佈。
📰

AI 週報

閱讀本週精選 AI 大事摘要 →

👉相關動態

AI 策展新聞聚合。所有內容版權歸原始發布者所有。
原始來源: Computerworld