【安全资讯】VoidStealer恶意软件利用调试器技巧窃取Chrome主密钥

概要：

随着网络威胁日益复杂，针对主流浏览器的攻击手段不断翻新。近日，一种名为VoidStealer的信息窃取恶意软件采用了一种前所未有的技术，成功绕过了谷歌Chrome浏览器的应用绑定加密（ABE）保护机制，直接窃取用于解密敏感数据的主密钥。这一事件凸显了即使是最新的安全防护措施也可能被高级恶意软件所突破，对全球用户的隐私和数据安全构成了严重威胁。

主要内容：

VoidStealer是一种恶意软件即服务（MaaS）平台，自2025年12月起在暗网论坛上宣传。其2.0版本引入了一种新颖的基于调试器的ABE绕过技术。该技术利用硬件断点，直接从浏览器内存中提取v20_master_key，而无需进行权限提升或代码注入。这是首次在野外观察到信息窃取程序使用此类机制。

谷歌在2024年6月发布的Chrome 127中引入了ABE，旨在保护Cookie等敏感数据。其核心是确保主密钥在磁盘上保持加密状态，无法通过常规用户级访问恢复。解密密钥需要以SYSTEM权限运行的谷歌Chrome提升服务来验证请求进程。然而，VoidStealer瞄准了Chrome在启动期间解密受保护数据时，v20_master_key以明文形式短暂存在于内存中的瞬间。

具体攻击流程是：VoidStealer启动一个被挂起且隐藏的浏览器进程，将其附加为调试器，并等待目标浏览器DLL加载。加载后，它扫描DLL以寻找特定字符串及其引用的LEA指令，将该指令地址设为硬件断点目标。随后，它在现有和新创建的浏览器线程上设置断点，等待其在浏览器启动解密数据时触发，然后读取持有明文主密钥指针的寄存器，并通过‘ReadProcessMemory’提取密钥。

研究人员指出，VoidStealer很可能并非发明了此技术，而是采用了开源项目‘ElevationKatz’（ChromeKatz cookie-dumping工具集的一部分）中的方法。该技术已公开超过一年，展示了Chrome的潜在弱点。这一事件表明，公开的研究和工具可能被恶意行为者武器化，用于实施实际攻击，对依赖Chrome进行敏感操作的个人和企业用户构成了广泛的数据泄露风险。