Chrome加密绕过新发现：恶意软件窃取密码和Cookie

一种新型信息窃取恶意软件正在绕过Chrome的应用程序绑定加密（ABE），使用研究人员称在野外尚未观察到的基于调试器的技术。

这种被称为"VoidStealer"的窃取器似乎找到了绕过ABE的方法。ABE是Chrome 127在2024年引入的安全控制机制，它使用更强的加密技术锁定敏感浏览器数据（如密码和Cookie），并将解密与特权系统服务绑定。

虽然ABE绕过技术之前就存在，通过代码注入到Chrome、滥用COM/提升服务和远程调试等技术，但几乎所有这些方法都需要管理员权限。

Gen公司的威胁研究员Vojtěch Krejsa首次发现了这个窃取器，他称VoidStealer的绕过方法是"低噪声"的。"这种绕过方法既不需要权限提升也不需要代码注入，与其他ABE绕过方法相比，这是一种更隐秘的方法，"他在博客文章中说道。

ABE绕过的核心围绕一个关键材料——"v20_master-key"。这个密钥是最终解锁存储的浏览器机密信息（包括Cookie、密码和Token）的关键，前提是浏览器已验证请求。理论上，ABE严密保护这个密钥，确保恶意软件无法轻易访问它。然而，在实际应用中，这个密钥在运行时仍需以明文形式存在，哪怕只是短暂的，这样Chrome才能正常工作。

早期的绕过技术专注于攻击解密过程，一些方法依赖于进程注入，将恶意代码植入Chrome来调用合法的解密例程。其他方法使用内存转储或远程调试，扫描大量进程内存来定位解密数据。更高级的方法则滥用Chrome的提升服务或COM接口来诱骗浏览器交出解密材料。

Krejsa解释说，VoidStealer采用了更精准的路径。它不是强制Chrome解密数据或广泛扫描内存，而是作为调试器附加并等待。通过在与Chrome解密流程相关的精确指令上设置硬件断点，它拦截v20_master_key在内存中以明文形式出现的确切时刻，然后使用标准调试API读取密钥。

Krejsa解释说，VoidStealer使用硬件断点是因为它们不修改代码。与可以被检测到的软件断点不同，硬件断点依赖于CPU寄存器，保持内存不受影响，且不会改变Chrome的自然执行。

VoidStealer是ABE后信息窃取器演进更广泛转变的一部分。该恶意软件已经支持多种绕过技术，在需要时回退到基于注入的旧方法，但明显优先考虑隐蔽性。

Krejsa还警告其开发速度。自2025年12月首次出现以来，该恶意软件通过各个版本快速演进，表明积极维护和地下市场可能存在客户需求。这款运行恶意软件即服务（MaaS）模型的恶意软件迄今已经历了12次迭代，最新版本"v2.1"于3月18日发布。

由于VoidStealer避免注入和权限提升，Krejsa指出传统指标可能不足。他说防护者必须专注于行为信号，包括对浏览器进程的意外调试器附加、内存读取API的异常使用以及Chrome进程的异常生成模式。

作为主要的入侵指标（IoC），研究人员分享了一个与VoidStealer v2.0相关的样本。

Q&A

Q1：什么是Chrome的应用程序绑定加密（ABE）？

A：ABE是Chrome 127在2024年引入的安全控制机制，它使用更强的加密技术锁定敏感浏览器数据（如密码和Cookie），并将解密与特权系统服务绑定，旨在防止恶意软件轻易访问这些敏感信息。

Q2：VoidStealer如何绕过ABE保护？

A：VoidStealer采用基于调试器的技术，作为调试器附加到Chrome进程并在与解密流程相关的精确指令上设置硬件断点，拦截v20_master_key在内存中以明文形式出现的确切时刻，然后使用标准调试API读取密钥。

Q3：如何检测VoidStealer攻击？

A：由于VoidStealer避免代码注入和权限提升，传统检测方法可能不足。防护者应关注行为信号，包括对浏览器进程的意外调试器附加、内存读取API的异常使用以及Chrome进程的异常生成模式。