情報窃取型マルウェアが進化 Cookie窃取を防止するChromeの新機能をバイパス | Codebook|Security News
Codebook|Security News > Articles > Threat Report > 情報窃取型マルウェアが進化 Cookie窃取を防止するChromeの新機能をバイパス

Threat Report

App-Bound Encryption

Chrome

Lumar

情報窃取型マルウェアが進化 Cookie窃取を防止するChromeの新機能をバイパス

Yoshida

Yoshida

2024.09.25

情報窃取型マルウェアが進化 Cookie窃取を防止するChromeの新機能をバイパス

BleepingComputer – September 24, 2024 

情報窃取型マルウェアの開発者らがアップデートをリリースし、Google Chromeの新機能「App-Bound Encryption」をバイパスする手法を自らのツールに実装したと主張しているという。2名のセキュリティ研究者が確認した。

App-Bound EncryptionはChrome 127で導入されたもので、SYSTEM権限で実行されるWindowsサービスを使用し、Cookieや保存されたパスワードを暗号化するように設計されている。この機能をバイパスしてChromeブラウザ内に保存された情報を盗み出すには、マルウェアがSYSTEM権限を有するか、Chromeにコードを注入する必要があるが、いずれの方法もセキュリティツールから警告が発せられる可能性が高い行為だという。

App-Bound Encryptionを回避する手法を実装したと主張していることが確認されたのはMeduzaStealer、Whitesnake、Lumma Stealer、Lumar(PovertyStealer)、Vidar、StealCの開発者。少なくとも一部の主張は事実のようで、例えばある研究者によると、Lumma Stealerの最新の亜種は、現在最も新しいバージョンのブラウザであるChrome 129の当該機能をバイパスできたという。Lumma Stealerの開発者は、新しい手法ではCookieを窃取するのに管理者権限を有したり、再起動を行ったりする必要はなく、暗号化のビルドが簡素化され、検出される確率も低くなると主張している。

Bleeping ComputerはGoogleに対し、こういったマルウェア開発者によるApp-Bound Encryptionへの対応についてコメントを求めたが、回答はまだ得られていないとのこと。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ