Les développeurs de logiciels malveillants Infostealer ont publié des mises à jour prétendant contourner la fonctionnalité récemment introduite de Google Chrome Cryptage lié à l’application pour protéger les données sensibles telles que les cookies.
Le cryptage lié à l’application a été introduit dans Chrome 127 et est conçu pour crypter les cookies et les mots de passe stockés à l’aide d’un service Windows qui s’exécute avec des privilèges système.
Ce modèle ne permet pas aux logiciels malveillants infostealer, qui s’exécutent avec les autorisations de l’utilisateur connecté, de voler des secrets stockés dans le navigateur Chrome.
Pour contourner cette protection, le logiciel malveillant aurait besoin de privilèges système ou d’injecter du code dans Chrome, deux actions bruyantes susceptibles de déclencher des avertissements des outils de sécurité, a déclaré Will Harris de l’équipe de sécurité de Chrome.
Cependant, les chercheurs en sécurité g0njxa et Russian Panda 9 x x ont observé plusieurs développeurs d’infostealer se vanter d’avoir implémenté un contournement fonctionnel pour leurs outils (MeduzaStealer, Whitesnake, Lumma Stealer, Lumar (PovertyStealer), Vidar Stealer, StealC).
Il semble qu’au moins certaines des affirmations soient réelles, comme l’a confirmé g0njxa pour Breachtrace, la dernière variante de Lumma Stealer peut contourner la fonction de cryptage de Chrome 129, la version actuellement la plus récente du navigateur.
Le chercheur a testé le logiciel malveillant sur un système Windows 10 Professionnel dans un environnement de bac à sable.
En termes de timing, Meduza et WhiteSnake ont mis en œuvre leurs mécanismes de contournement il y a plus de deux semaines, Lumma la semaine dernière et Vidar et StealC cette semaine.
Lumar a d’abord répondu au chiffrement lié à l’application en implémentant une solution temporaire qui nécessitait le lancement du logiciel malveillant avec des droits d’administrateur, puis un mécanisme de contournement qui fonctionne avec les privilèges de l’utilisateur connecté.
Les développeurs de Lumma Stealer ont assuré à son client qu’ils n’avaient pas besoin d’exécuter le logiciel malveillant avec des privilèges d’administrateur pour que le vol de cookies fonctionne.
« Ajout d’une nouvelle méthode de collecte des cookies Chrome. La nouvelle méthode ne nécessite pas de droits d’administrateur et/ou de redémarrage, ce qui simplifie la construction de la crypte et réduit les chances de détection, et augmente ainsi le taux de frappe. »- développeurs de Lumma Stealer
La manière exacte dont le contournement du cryptage lié à l’application est obtenu n’est pas divulguée, mais les auteurs du logiciel malveillant Rhadamanthys ont déclaré qu’il leur avait fallu 10 minutes pour inverser le cryptage.
Breachtrace a contacté le géant de la technologie pour un commentaire sur la réponse du développeur de logiciels malveillants au cryptage lié aux applications dans Chrome, mais nous attendons toujours une réponse.