Chrome: Infostealer aggira le nuove difese anti-furto dei cookie

Gli sviluppatori del malware Infostealer hanno rilasciato aggiornamenti che affermano di bypassare la funzionalità App-Bound Encryption di Goolge Chrome. Quest’ultima è stata introdotta in Chrome 127. È progettata per crittografare i cookie e le password archiviate utilizzando un servizio Windows che viene eseguito con privilegi di sistema. Questo modello non consente al malware, che viene eseguito con le autorizzazioni dell'utente registrato, di rubare i segreti archiviati nel browser. Per aggirare questa protezione, il malware avrebbe bisogno di privilegi di sistema o di iniettare codice in Chrome. Come affermato da Will Harris del team di sicurezza di Chrome, si tratta di azioni evidenti che potrebbero attivare avvisi da parte degli strumenti di sicurezza.

Chrome: Lumma Stealer può aggirare la crittografia del browser

I ricercatori di sicurezza g0njxa e RussianPanda9xx hanno osservato numerosi sviluppatori di infostealer vantarsi di aver implementato un bypass funzionante per i loro strumenti (MeduzaStealer, Whitesnake, Lumma Stealer, Lumar (PovertyStealer), Vidar Stealer, StealC). In particolare, g0njxa ha confermato al sito BleepingComputer che l'ultima variante di Lumma Stealer è in grado di aggirare la funzione di crittografia di Chrome 129. Il ricercatore ha testato il malware su un sistema Windows 10 Pro in un ambiente sandbox. In termini di tempistica, Meduza e WhiteSnake hanno implementato i loro meccanismi di bypass più di due settimane fa. Lumma ha invece fatto ciò la scorsa settimana e Vidar e StealC questa settimana.

Gli sviluppatori di Lumma Stealer hanno assicurato che non è necessario eseguire il malware con privilegi di amministratore affinché il furto di cookie funzioni. Secondo quanto riportato: "aggiunto un nuovo metodo per raccogliere i cookie di Chrome. Il nuovo metodo non richiede diritti di amministratore e/o riavvio, il che semplifica la creazione della crittografia e riduce le possibilità di rilevamento, aumentando così il tasso di knock". Ad oggi non è ancora stato rivelato come venga effettivamente aggirata la crittografia associata all'app. Tuttavia, ma gli autori del malware Rhadamanthys hanno commentato che ci sono voluti 10 minuti per invertire la crittografia.