23/09/24
Разработчики популярных инфостилеров сообщили клиентам о том, что они научились обходить функцию Chrome App-Bound Encryption и собирать куки аутентификации, которые ранее возвращались зашифрованными. Об этом пишет Securitylab.
Новая защитная функция была добавлена в Chrome 127 в июле и предназначена для шифрования данных, связанных с процессом браузера. Расшифровать такие данные можно только с учётной записи администратора. Разработчики вредоносного ПО за последние 2 месяца активно искали способы обхода барьера. Некоторые внедряли вредоносный код непосредственно в процесс Chrome или использовали уязвимости повышения привилегий, чтобы получить доступ к правам администратора. Теперь новыми возможностями обхода обладают инфостилеры Lumar, Lumma, Meduza, Vidar и WhiteSnake.
Google понимал, что функция App-Bound Encryption не является панацеей, и злоумышленники со временем найдут способы её обойти. Тем не менее компания решила внедрить её, так как знала, что попытки обхода сделают действия инфостилеров более заметными для антивирусного ПО. Как объясняют в Google, «из-за того, что сервис App-Bound работает с системными привилегиями, хакерам нужно больше, чем просто заставить пользователя запустить вредоносное приложение. Теперь вредоносное ПО должно получить системные права или внедрить код в Chrome, что делает их действия более подозрительными для антивирусного ПО и повышает вероятность обнаружения».
За последний месяц инфостилеры всё больше используются для взломов и распространения программ-вымогателей, что заставило команду безопасности Google уделить больше внимания защите данных в браузере. Хотя на данный момент функция App-Bound Encryption работает только для cookie-файлов, компания планирует расширить её на пароли, платёжные данные и другие токены аутентификации, хранящиеся в Chrome.
Кроме того, Google разрабатывает ещё одну новую функцию безопасности под названием Device Bound Session Credentials ( DBSC ), которая протестируется к концу года и будет использовать криптографические ключи, привязанные к устройству пользователя, для шифрования паролей и данных кук.
Ожидается, что новая функция безопасности будет поддерживаться примерно на половине всех настольных устройств Chrome и будет полностью согласована с поэтапным отказом от использования сторонних куки в Chrome. В Chrome заявили, что после полного внедрения потребители и корпоративные пользователи автоматически получат улучшенную безопасность своих аккаунтов Google.
