概要
A new variant of the MaaS infostealer VoidStealerは、Google ChromeのApplication-Bound Encryption (ABE) のデバッグベースバイパスを使用して初めて観察されたマルウェアです。この新しい手法では、ハードウェアブレークポイントを用いてブラウザメモリからv20_master_keyを直接盗むことができます。
従来の方法との違い
従来のABEバイパスは、システムレベルでの権限昇格やブラウザプロセスへのコードインジェクションが必要でした。しかし、VoidStealer v2.0ではこれらの要件が不要となり、検出フットプリントを大幅に削減しながらも、攻撃者は依然としてABE保護されたクッキーと資格情報を完全にアクセスできるようになりました。
新しいバイパスの詳細
VoidStealer v2.0は、ChromeやEdgeをデバッガとしてアタッチし、ハードウェアブレークポイントを使用してv20_master_keyを盗む手法を採用しています。この方法では、ブラウザプロセスへのインジェクションやシステムレベルの権限昇格が不要であり、攻撃者はこれらの行為から検出されるリスクを大幅に低減できます。
実装詳細
VoidStealerは、CreateProcessWを使用して非表示のブラウザインスタンスを生成し、DebugActiveProcessを通じてデバッガとしてアタッチします。その後、chrome.dllやmsedge.dllが読み込まれたときにv20_master_keyが平文で存在する瞬間を見計らい、そのキーを盗みます。
検出の機会
この新しいバイパスは、デバッガとしてブラウザプロセスにアタッチしたり、大量のブラウザメモリ読み取りを行ったりするため、これらの行動を監視することで防御側が攻撃を捕捉することができます。