🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Leia, comente e fique sempre atualizado!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um ladrão de informações chamado VoidStealer usa uma nova abordagem para contornar a criptografia vinculada ao aplicativo (ABE) do Chrome e extrair a chave mestra para descriptografar dados confidenciais armazenados no navegador.
O novo método é mais furtivo e depende de pontos de interrupção de hardware para extrair a v20_master_key, usada para criptografia e descriptografia, diretamente da memória do navegador, sem exigir escalonamento de privilégios ou injeção de código.
Um relatório da Gen Digital, empresa controladora das marcas Norton, Avast, AVG e Avira, observa que este é o primeiro caso de um infostealer observado na natureza a usar tal mecanismo.
O Google introduziu o ABE no Chrome 127, lançado em junho de 2024, como um novo mecanismo de proteção para cookies e outros dados confidenciais do navegador. Ele garante que a chave mestra permaneça criptografada no disco e não possa ser recuperada por meio do acesso normal no nível do usuário.
A descriptografia da chave requer o Google Chrome Elevation Service, executado como SYSTEM, para validar o processo de solicitação.
Visão geral de como a ABE bloqueia malwareFonte: Gen Digital
No entanto, esse sistema foi contornado por várias famílias de malware de roubo de informações e até foi demonstrado em ferramentas de código aberto. Embora o Google tenha implementado correções e melhorias para bloquear esses desvios, novas versões de malware continuaram a ter sucesso usando outros métodos.
“O VoidStealer é o primeiro infostealer observado na natureza adotando uma nova técnica de bypass Application-Bound Encryption (ABE) baseada em depurador que aproveita pontos de interrupção de hardware para extrair a v20_master_key diretamente da memória do navegador”, diz Vojtěch Krejsa, pesquisador de ameaças da Gen Digital.
VoidStealer é uma plataforma de malware como serviço (MaaS) anunciada em fóruns da dark web desde pelo menos meados de dezembro de 2025. O malware introduziu o novo mecanismo de desvio de ABE na versão 2.0.
Cibercriminosos anunciando desvio ABE no VoidStealer versão 2.0Fonte: Gen Digital
Roubando a chave mestra
O truque do VoidStealer para extrair a chave mestra é atingir um breve momento em que v20_master_key do Chrome está brevemente presente na memória em estado de texto simples durante as operações de descriptografia.
Especificamente, o VoidStealer inicia um processo de navegador suspenso e oculto, anexa-o como um depurador e aguarda o carregamento da DLL do navegador de destino (chrome.dll ou msedge.dll).
Quando carregado, ele verifica a DLL em busca de uma string específica e da instrução LEA que a faz referência, usando o endereço dessa instrução como destino do ponto de interrupção de hardware.
String de destino do VoidStealerFonte: Gen Digital
Em seguida, ele define esse ponto de interrupção em threads de navegador existentes e recém-criados, espera que ele seja acionado durante a inicialização enquanto o navegador está descriptografando os dados protegidos e, em seguida, lê o registro que contém um ponteiro para o texto simples v20_master_key e o extrai com ‘ReadProcessMemory’.
A Gen Digital explica que o momento ideal para o malware fazer isso é durante a inicialização do navegador, quando o aplicativo carrega antecipadamente os cookies protegidos por ABE, forçando a descriptografia da chave mestra.
Os pesquisadores explicaram que o VoidStealer provavelmente não inventou essa técnica, mas sim a adotou do projeto de código aberto ‘ElevationKatz’, parte do conjunto de ferramentas de despejo de cookies do ChromeKatz que demonstra os pontos fracos do Chrome.
Embora existam algumas diferenças no código, a implementação parece ser baseada no ElevationKatz, que está disponível há mais de um ano.
BleepingComputer entrou em contato com o Google com um pedido de comentário sobre esse método de desvio usado por agentes de ameaças, mas uma resposta não estava disponível no momento da publicação.
Red Report 2026: Por que a criptografia de ransomware caiu 38%
O malware está ficando mais inteligente. O Red Report 2026 revela como novas ameaças usam matemática para detectar sandboxes e se esconder à vista de todos. Baixe nossa análise de 1,1 milhão de amostras maliciosas para descobrir as 10 principais técnicas e ver se sua pilha de segurança está cega.
Baixe o relatório
O novo método é mais furtivo e depende de pontos de interrupção de hardware para extrair a v20_master_key, usada para criptografia e descriptografia, diretamente da memória do navegador, sem exigir escalonamento de privilégios ou injeção de código.
Um relatório da Gen Digital, empresa controladora das marcas Norton, Avast, AVG e Avira, observa que este é o primeiro caso de um infostealer observado na natureza a usar tal mecanismo.
O Google introduziu o ABE no Chrome 127, lançado em junho de 2024, como um novo mecanismo de proteção para cookies e outros dados confidenciais do navegador. Ele garante que a chave mestra permaneça criptografada no disco e não possa ser recuperada por meio do acesso normal no nível do usuário.
A descriptografia da chave requer o Google Chrome Elevation Service, executado como SYSTEM, para validar o processo de solicitação.
Visão geral de como a ABE bloqueia malwareFonte: Gen Digital
No entanto, esse sistema foi contornado por várias famílias de malware de roubo de informações e até foi demonstrado em ferramentas de código aberto. Embora o Google tenha implementado correções e melhorias para bloquear esses desvios, novas versões de malware continuaram a ter sucesso usando outros métodos.
“O VoidStealer é o primeiro infostealer observado na natureza adotando uma nova técnica de bypass Application-Bound Encryption (ABE) baseada em depurador que aproveita pontos de interrupção de hardware para extrair a v20_master_key diretamente da memória do navegador”, diz Vojtěch Krejsa, pesquisador de ameaças da Gen Digital.
VoidStealer é uma plataforma de malware como serviço (MaaS) anunciada em fóruns da dark web desde pelo menos meados de dezembro de 2025. O malware introduziu o novo mecanismo de desvio de ABE na versão 2.0.
Cibercriminosos anunciando desvio ABE no VoidStealer versão 2.0Fonte: Gen Digital
Roubando a chave mestra
O truque do VoidStealer para extrair a chave mestra é atingir um breve momento em que v20_master_key do Chrome está brevemente presente na memória em estado de texto simples durante as operações de descriptografia.
Especificamente, o VoidStealer inicia um processo de navegador suspenso e oculto, anexa-o como um depurador e aguarda o carregamento da DLL do navegador de destino (chrome.dll ou msedge.dll).
Quando carregado, ele verifica a DLL em busca de uma string específica e da instrução LEA que a faz referência, usando o endereço dessa instrução como destino do ponto de interrupção de hardware.
String de destino do VoidStealerFonte: Gen Digital
Em seguida, ele define esse ponto de interrupção em threads de navegador existentes e recém-criados, espera que ele seja acionado durante a inicialização enquanto o navegador está descriptografando os dados protegidos e, em seguida, lê o registro que contém um ponteiro para o texto simples v20_master_key e o extrai com ‘ReadProcessMemory’.
A Gen Digital explica que o momento ideal para o malware fazer isso é durante a inicialização do navegador, quando o aplicativo carrega antecipadamente os cookies protegidos por ABE, forçando a descriptografia da chave mestra.
Os pesquisadores explicaram que o VoidStealer provavelmente não inventou essa técnica, mas sim a adotou do projeto de código aberto ‘ElevationKatz’, parte do conjunto de ferramentas de despejo de cookies do ChromeKatz que demonstra os pontos fracos do Chrome.
Embora existam algumas diferenças no código, a implementação parece ser baseada no ElevationKatz, que está disponível há mais de um ano.
BleepingComputer entrou em contato com o Google com um pedido de comentário sobre esse método de desvio usado por agentes de ameaças, mas uma resposta não estava disponível no momento da publicação.
Red Report 2026: Por que a criptografia de ransomware caiu 38%
O malware está ficando mais inteligente. O Red Report 2026 revela como novas ameaças usam matemática para detectar sandboxes e se esconder à vista de todos. Baixe nossa análise de 1,1 milhão de amostras maliciosas para descobrir as 10 principais técnicas e ver se sua pilha de segurança está cega.
Baixe o relatório
#samirnews #samir #news #boletimtec #malware #voidstealer #rouba #chave #mestra #do #chrome #por #meio #de #truque #de #depurador
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário