Google Chrome, bekannt für seine robusten Sicherheitsfunktionen, sieht sich nun neuen Bedrohungen durch die Malware-Entwickler von Infostealer ausgesetzt. Diese böswilligen Akteure behaupten, Wege gefunden zu haben, die neueste Sicherheitsfunktion von Chrome, App-Bound Encryption, zu umgehen, die in Chrome Version 127 eingeführt wurde. Die Funktion, die zum Schutz sensibler Benutzerdaten wie Cookies und Passwörter entwickelt wurde, verschlüsselt Informationen mithilfe eines Windows-Dienstes mit Systemberechtigungen.
Infostealer-Malware umgeht die Abwehrmaßnahmen von Chrome
Die Entwickler von Infostealer-Malware, die dafür berüchtigt sind, es auf im Browser gespeicherte Daten abgesehen zu haben, entwickeln sich rasant weiter. Mehrere Entwickler gaben kürzlich bekannt, dass sie das neue Verschlüsselungssystem von Chrome erfolgreich umgangen haben. Zu den betroffenen Tools gehören MeduzaStealer, WhiteSnake, Lumma Stealer und Vidar Stealer. Diese Malware-Programme sind angeblich in der Lage, Cookies und andere vertrauliche Daten von Chrome zu stehlen, ohne dass dafür Zugriff auf Systemebene erforderlich ist.
Die Sicherheitsforscher g0njxa und RussianPanda9xx bestätigten, dass zumindest einige dieser Behauptungen legitim erscheinen. So überprüfte g0njxa, dass die neueste Version von Lumma Stealer und WhiteSnake die Verschlüsselungsfunktion in Chrome 129, der neuesten Version des Browsers, umgehen kann. Die Forscher führten Tests auf einem Windows 10 Pro-System in einer Sandbox-Umgebung durch, um das Verhalten der Malware zu analysieren.
Der Forscher g0njxa testete die Lumma-Stealer-Variante in einer kontrollierten Umgebung und bestätigte, dass sie die Verschlüsselungsfunktion in Chrome 129 umging. Dies stellt eine ernsthafte Bedrohung dar. Die Verschlüsselung von Chrome sollte Benutzeranmeldeinformationen sogar vor Malware schützen, die auf demselben System ausgeführt wird.
Ein Beitrag von RussianPanda9xx enthüllte, dass MeduzaStealer eine Testversion herausgebracht hat, die angeblich die Verschlüsselung von Chrome 127 umgehen kann. Andere Tools wie Lumma Stealer sind diesem Beispiel ebenfalls gefolgt, wobei einige Malware-Entwickler erklärten, dass ihre aktualisierten Versionen nun Cookies aus Chrome 129, der neuesten Browserversion, extrahieren können.
Die von der Infostealer-Malware verwendete Bypass-Technik besteht darin, die Sicherheit von Chrome zu manipulieren, ohne Systemwarnungen auszulösen. Bisher erforderte Malware Administratorrechte oder Code-Injektion, um Daten zu stehlen. Diese Aktionen führten häufig zu Warnungen von Antivirensoftware. Jüngste Fortschritte von Malware-Entwicklern, wie denen hinter Lumma Stealer, haben jedoch die Notwendigkeit von Administratorrechten beseitigt. Diese Änderung verringert das Risiko einer Entdeckung und macht die Malware gefährlicher.
Anhaltende Bedrohung für Chrome-Benutzer
Während Googles App-Bound Encryption eigentlich verhindern sollte, dass die Malware Infostealer auf vertrauliche Daten zugreift, haben sich Hacker schnell daran angepasst. Malware-Entwickler behaupten, die Verschlüsselung in wenigen Minuten geknackt zu haben. Die Einzelheiten, wie sie die Verschlüsselung umgehen, bleiben geheim, aber dies stellt eine erhebliche Herausforderung für das Sicherheitsteam von Google dar.
Abwehrmaßnahmen gegen die Infostealer-Malware in Chrome werden derzeit in größerem Umfang getestet, da immer mehr Malware-Entwickler ähnliche Bypass-Methoden implementieren. Berichten zufolge haben Tools wie Vidar Stealer und StealC in der letzten Woche ebenfalls Bypass-Methoden integriert, was weiterhin ein Risiko für die Online-Sicherheit der Benutzer in der Technologiewelt darstellt.
