情報窃取型マルウェアが進化 Cookie窃取を防止するChromeの新機能をバイパス
BleepingComputer – September 24, 2024
情報窃取型マルウェアの開発者らがアップデートをリリースし、Google Chromeの新機能「App-Bound Encryption」をバイパスする手法を自らのツールに実装したと主張しているという。2名のセキュリティ研究者が確認した。
App-Bound EncryptionはChrome 127で導入されたもので、SYSTEM権限で実行されるWindowsサービスを使用し、Cookieや保存されたパスワードを暗号化するように設計されている。この機能をバイパスしてChromeブラウザ内に保存された情報を盗み出すには、マルウェアがSYSTEM権限を有するか、Chromeにコードを注入する必要があるが、いずれの方法もセキュリティツールから警告が発せられる可能性が高い行為だという。
App-Bound Encryptionを回避する手法を実装したと主張していることが確認されたのはMeduzaStealer、Whitesnake、Lumma Stealer、Lumar(PovertyStealer)、Vidar、StealCの開発者。少なくとも一部の主張は事実のようで、例えばある研究者によると、Lumma Stealerの最新の亜種は、現在最も新しいバージョンのブラウザであるChrome 129の当該機能をバイパスできたという。Lumma Stealerの開発者は、新しい手法ではCookieを窃取するのに管理者権限を有したり、再起動を行ったりする必要はなく、暗号化のビルドが簡素化され、検出される確率も低くなると主張している。
Bleeping ComputerはGoogleに対し、こういったマルウェア開発者によるApp-Bound Encryptionへの対応についてコメントを求めたが、回答はまだ得られていないとのこと。