Бесплатно Экспресс-аудит сайта:

24.09.2024

Охота за куки: инфостилеры научились обходить шифрование в Chrome 127

Разработчики популярных инфостилеров сообщили клиентам о том, что они научились обходить функцию Chrome App-Bound Encryption и собирать куки аутентификации, которые ранее возвращались зашифрованными.

Новая защитная функция была добавлена в Chrome 127 в июле и предназначена для шифрования данных, связанных с процессом браузера. Расшифровать такие данные можно только с учётной записи администратора. Разработчики вредоносного ПО за последние 2 месяца активно искали способы обхода барьера. Некоторые внедряли вредоносный код непосредственно в процесс Chrome или использовали уязвимости повышения привилегий, чтобы получить доступ к правам администратора. Теперь новыми возможностями обхода обладают инфостилеры Lumar, Lumma, Meduza, Vidar и WhiteSnake.

Google понимал, что функция App-Bound Encryption не является панацеей, и злоумышленники со временем найдут способы её обойти. Тем не менее компания решила внедрить её, так как знала, что попытки обхода сделают действия инфостилеров более заметными для антивирусного ПО. Как объясняют в Google, «из-за того, что сервис App-Bound работает с системными привилегиями, хакерам нужно больше, чем просто заставить пользователя запустить вредоносное приложение. Теперь вредоносное ПО должно получить системные права или внедрить код в Chrome, что делает их действия более подозрительными для антивирусного ПО и повышает вероятность обнаружения».

За последний месяц инфостилеры всё больше используются для взломов и распространения программ-вымогателей, что заставило команду безопасности Google уделить больше внимания защите данных в браузере. Хотя на данный момент функция App-Bound Encryption работает только для cookie-файлов, компания планирует расширить её на пароли, платёжные данные и другие токены аутентификации, хранящиеся в Chrome.

Кроме того, Google разрабатывает ещё одну новую функцию безопасности под названием Device Bound Session Credentials ( DBSC ), которая протестируется к концу года и будет использовать криптографические ключи, привязанные к устройству пользователя, для шифрования паролей и данных кук.

Ожидается, что новая функция безопасности будет поддерживаться примерно на половине всех настольных устройств Chrome и будет полностью согласована с поэтапным отказом от использования сторонних куки в Chrome. В Chrome заявили, что после полного внедрения потребители и корпоративные пользователи автоматически получат улучшенную безопасность своих аккаунтов Google.