O mundo da cibersegurança acaba de ganhar uma nova dor de cabeça com a descoberta do VoidStealer. Este malware de roubo de informações, que funciona num modelo de "subscrição" para criminosos, encontrou uma forma inovadora e bastante furtiva de contornar as proteções mais recentes do browser da Google. O objetivo é simples, mas devastador: extrair a chave mestra que protege todos os teus dados sensíveis, como cookies e palavras-passe guardadas.
Segundo as informações partilhadas pelo BleepingComputer, esta ameaça foi detetada pela equipa da Gen Digital, que engloba marcas como a Norton e a Avast. O VoidStealer destaca-se por ser o primeiro malware deste tipo observado "em liberdade" a utilizar uma técnica de depuração (debugger) para atacar a encriptação do Chrome.
Um ataque direto ao coração do browser
Em meados de 2024, a Google introduziu uma funcionalidade chamada Application-Bound Encryption (ABE). Esta camada de segurança serve para garantir que apenas o processo legítimo do browser possa aceder às chaves de encriptação, impedindo que aplicações externas maliciosas simplesmente "leiam" os ficheiros das passwords. Teoricamente, seria necessário ter privilégios de administrador ou injetar código complexo para quebrar esta barreira.
No entanto, os criadores do VoidStealer decidiram não arrombar a porta, mas sim esperar que ela fosse aberta. O malware tira partido de um momento extremamente curto — durante o arranque do programa — em que a chave mestra (conhecida como v20_master_key) aparece na memória do computador em texto simples, ou seja, sem qualquer proteção. É nesta pequena janela de oportunidade que o ataque acontece, de forma silenciosa e sem levantar suspeitas.
A técnica furtiva do hardware breakpoint
Para conseguir esta proeza, o VoidStealer utiliza uma técnica que parece saída de um laboratório de programação. O malware inicia um processo invisível do browser e anexa-se a ele como se fosse uma ferramenta de correção de erros (um debugger). Ao usar os chamados "hardware breakpoints", o vírus consegue monitorizar exatamente quando certas instruções de código são executadas.
Quando o browser começa a decifrar os dados protegidos para iniciar a sessão do utilizador, o malware "congela" o processo por uma fração de segundo, lê a chave mestra diretamente da memória RAM e guarda-a. Com esta chave na mão, os criminosos conseguem descodificar tudo o que estiver guardado no browser sem precisar de permissões especiais do sistema. Embora esta técnica já tivesse sido demonstrada em ferramentas de código aberto por investigadores, esta é a primeira vez que é integrada num malware comercial desenhado para ataques em larga escala.
Nenhum comentário
Seja o primeiro!