มัลแวร์ Infostealer สามารถ bypass การป้องการการขโมยคุกกี้แบบใหม่ของ Chrome ได้

นักพัฒนามัลแวร์ Infostealer ได้ปล่อยอัปเดตที่อ้างว่าสามารถ bypass ฟีเจอร์ App-Bound Encryption ซึ่งถูกเพิ่มเข้ามาเมื่อไม่นานนี้ ซึ่งถูกนำมาใช้ใน Google Chrome เพื่อป้องกันข้อมูลสำคัญอย่างเช่นคุกกี้

App-Bound Encryption ถูกนำมาใช้ใน Chrome เวอร์ชัน 127 โดยถูกออกแบบมาเพื่อเข้ารหัสคุกกี้ และรหัสผ่านที่จัดเก็บไว้ โดยใช้บริการของ Windows ที่ทำงานด้วยสิทธิ์ของ system

วิธีการนี้ป้องกันไม่ให้มัลแวร์ Infostealer ที่ทำงานด้วยสิทธิ์ของผู้ใช้เข้าสู่ระบบ ขโมยข้อมูลสำคัญที่เก็บไว้ในเว็บเบราว์เซอร์ Chrome

Will Harris เจ้าหน้าที่จากทีมรักษาความปลอดภัยของ Chrome ระบุว่า "เพื่อหลีกเลี่ยงการป้องกันดังกล่าว มัลแวร์จะต้องมีสิทธิ์ของ system หรือแทรกโค้ดเข้าไปใน Chrome ซึ่งเป็นการกระทำที่มีความเสี่ยงสูง และมีแนวโน้มที่จะทำให้เครื่องมือรักษาความปลอดภัยแจ้งเตือนได้"

อย่างไรก็ตาม นักวิจัยด้านความปลอดภัย g0njxa และ RussianPanda9xx ได้พบว่านักพัฒนามัลแวร์ infostealer หลายราย ได้อ้างว่าพวกเขาได้พัฒนาวิธีการ bypass การป้องกันนี้ด้วยเครื่องมือของพวกเขาได้แล้ว เช่น MeduzaStealer, Whitesnake, Lumma Stealer, Lumar (PovertyStealer), Vidar Stealer และ StealC

ดูเหมือนคำกล่าวอ้างนี้จะเป็นความจริง เนื่องจาก g0njxa ยืนยันกับ BleepingComputer ว่า Lumma Stealer เวอร์ชันล่าสุดสามารถ bypass ฟีเจอร์การเข้ารหัสใน Chrome 129 ซึ่งเป็นเวอร์ชันล่าสุดของเว็บเบราว์เซอร์ได้ โดยนักวิจัยทดสอบมัลแวร์บนระบบ Windows 10 Pro ใน sandbox

ในแง่ของเวลา Meduza และ WhiteSnake ได้ใช้การกลไกการ bypass การป้องกันนี้มานานกว่าสองสัปดาห์แล้ว ในส่วนของ Lumma เมื่อสัปดาห์ที่แล้ว และ Vidar กับ StealC ในสัปดาห์นี้

Lumar ตอบสนองต่อฟีเจอร์ App-Bound Encryption ในช่วงแรก โดยใช้วิธีแก้ปัญหาชั่วคราว ที่จำเป็นต้องเปิดมัลแวร์ด้วยสิทธิ์ผู้ดูแลระบบ แต่ต่อมาได้พัฒนากลไกการ bypass ที่สามารถทำงานได้ด้วยสิทธิ์ของผู้ใช้ที่เข้าสู่ระบบ

นักพัฒนาของ Lumma Stealer รับประกันแก่ลูกค้าว่าไม่จำเป็นต้องเปิดใช้งานมัลแวร์ด้วยสิทธิ์ผู้ดูแลระบบเพื่อให้การขโมยคุกกี้ทำงาน

“Added a new method of collecting Chrome cookies. The new method does not require admin rights and/or restart, which simplifies the crypt build and reduces the chances of detection, and thus increase the knock rate.” – นักพัฒนาของ Lumma Stealer

วิธีการหลีกเลี่ยงฟีเจอร์ App-Bound Encryption อย่างแน่ชัดยังไม่ถูกเปิดเผย แต่ผู้พัฒนามัลแวร์ Rhadamanthys แสดงความคิดเห็นว่าพวกเขาใช้เวลาเพียง 10 นาทีในการ reverse การเข้ารหัส

BleepingComputer ได้ติดต่อกับ Google เพื่อขอความคิดเห็นเกี่ยวกับการตอบสนองของนักพัฒนามัลแวร์ต่อฟีเจอร์ App-Bound Encryption ใน Chrome แต่ยังไม่ได้รับคำตอบ

ที่มา : https://www.bleepingcomputer.com/news/security/infostealer-malware-bypasses-chromes-new-cookie-theft-defenses/