Кибепреступники нашли способ обхода Application-Bound Encryption от Google
18/11/24
Летом этого года Google представила новую защиту для браузеров Chrome и Edge, называемую «привязкой к приложению» (Application-Bound Encryption, ABE), чтобы предотвратить кражу cookies и данных авторизации, пишет Securitylab. Однако киберпреступники быстро нашли способы обхода этой защиты, что привело к новой волне активности вредоносных программ, о чём на днях сообщили эксперты компании Red Canary.
Несколько популярных инфостилеров, таких как Stealc, Vidar, LummaC2 и Meduza, уже адаптировались к нововведениям. Основная тактика — использование удалённой отладки Chromium через параметры запуска браузера. Вредоносное ПО создаёт новые скрытые окна браузера с доступом к cookies, что позволяет извлекать данные, не привлекая внимания пользователя. Этот метод применяется также в новых версиях Remcos и Cryptbot.
Другой подход — использование памяти запущенных процессов. С помощью инструмента ChromeKatz злоумышленники выгружают память браузера и извлекают из неё cookies. Эта техника не оставляет видимых следов для антивирусов, но требует точного соответствия адресов в памяти, что делает её уязвимой к изменениям версий Chromium.
Ещё один метод обхода — взаимодействие с COM-интерфейсами браузеров. Некоторые вредоносные программы, такие как Metastealer, используют эту технику, помещая свои файлы в ту же директорию, что и Chrome, для обхода встроенных проверок безопасности.
Также злоумышленники нашли способ обходить ABE через реестр Windows. Путём изменения ключей политики они могут отключить защиту для всех пользователей на устройстве. Это требует прав администратора, но, судя по находкам на VirusTotal, подобный подход уже активно используется.
Несмотря на то, что перспективный способ защиты оказал весьма низкое сопротивление хакерам, специалисты по безопасности всё равно рекомендуют обновлять браузеры до последних версий, так как они включают встроенные меры защиты, препятствующие устаревшим методам атак.
Кроме того, отключение Application-Bound Encryption можно засечь в реестре с помощью следующих системных команд, в зависимости от используемого браузера:
- reg.exe query HKLM\Software\Policies\Google\Chrome /v ApplicationBoundEncryptionEnabled
- reg.exe query HKLM\Software\Policies\Microsoft\Edge /v ApplicationBoundEncryptionEnabled
Если значение ключа равно 0, это указывает на отключённую защиту.