Nieuwe bedreigingen voor de beveiliging van Chrome: Infostealer-malware doorbreekt de verdediging

Google Chrome, bekend om zijn robuuste beveiligingsfuncties, wordt nu geconfronteerd met nieuwe bedreigingen van ontwikkelaars van Infostealer-malware. Deze kwaadwillende actoren beweren manieren te hebben gevonden om de nieuwste beveiligingsfunctie van Chrome, App-Bound Encryption, te omzeilen, die werd geïntroduceerd in Chrome-versie 127. De functie, die is ontworpen om gevoelige gebruikersgegevens zoals cookies en wachtwoorden te beschermen, versleutelt informatie met behulp van een Windows-service met systeemrechten.

Infostealer-malware omzeilt Chrome-verdediging

Makers van Infostealer-malware, berucht om het targeten van in browsers opgeslagen gegevens, ontwikkelen zich snel. Verschillende ontwikkelaars hebben onlangs aangekondigd dat ze het nieuwe encryptiesysteem van Chrome met succes hebben omzeild. Tot de getroffen tools behoren MeduzaStealer, WhiteSnake, Lumma Stealer en Vidar Stealer. Deze malwareprogramma’s zouden cookies en andere gevoelige gegevens van Chrome kunnen stelen zonder dat daarvoor toegang op systeemniveau nodig is.

Beveiligingsonderzoekers g0njxa en RussianPanda9xx bevestigden dat ten minste enkele van deze claims legitiem lijken. g0njxa bevestigde bijvoorbeeld dat de nieuwste versie van Lumma Stealer en WhiteSnake de encryptiefunctie in Chrome 129, de meest recente versie van de browser, kan omzeilen. De onderzoekers voerden tests uit op een Windows 10 Pro-systeem in een sandbox-omgeving om het gedrag van de malware te analyseren.

Onderzoeker g0njxa testte de Lumma Stealer-variant in een gecontroleerde omgeving en bevestigde dat deze de encryptiefunctie in Chrome 129 omzeilde. Dit vormt een serieuze bedreiging. De encryptie van Chrome moest gebruikersreferenties beschermen, zelfs tegen malware die op hetzelfde systeem draaide.

Een bericht van RussianPanda9xx onthulde dat MeduzaStealer een testversie lanceerde die beweerde de encryptie van Chrome 127 te omzeilen. Andere tools zoals Lumma Stealer hebben dit voorbeeld gevolgd, waarbij sommige malwareontwikkelaars verklaarden dat hun bijgewerkte versies nu cookies kunnen extraheren uit Chrome 129, de nieuwste browserversie.

De bypass-techniek die door Infostealer-malware wordt gebruikt, houdt in dat de beveiliging van Chrome wordt gemanipuleerd zonder systeemwaarschuwingen te activeren. Voorheen had malware beheerdersrechten of code-injectie nodig om gegevens te stelen. Deze acties resulteerden vaak in waarschuwingen van antivirussoftware. Recente ontwikkelingen door malwareontwikkelaars, zoals die achter Lumma Stealer, hebben echter de noodzaak voor beheerdersrechten geëlimineerd. Deze wijziging vermindert het risico op detectie, waardoor de malware gevaarlijker wordt.

Voortdurende bedreiging voor Chrome-gebruikers

Hoewel Google’s App-Bound Encryption bedoeld was om te voorkomen dat Infostealer-malware toegang zou krijgen tot gevoelige gegevens, hebben hackers zich snel aangepast. Malwareontwikkelaars beweren dat ze de encryptie binnen enkele minuten hebben gekraakt. De details van hoe ze de encryptie omzeilen, blijven onbekend, maar dit vormt een aanzienlijke uitdaging voor het beveiligingsteam van Google.

Infostealer-malware Chrome-verdedigingen worden nu op grotere schaal getest, aangezien meer malwareontwikkelaars vergelijkbare bypass-methoden implementeren. Tools zoals Vidar Stealer en StealC hebben naar verluidt ook bypasses geïntegreerd in de afgelopen week, wat nog steeds risico’s vormt voor de online veiligheid van gebruikers in de techwereld.

Thijs Van der Does