«Угроза номер один для браузеров на Chromium»: новый стилер обходит защиту Google Chrome с помощью перехвата мастер-ключа

В сети выявили новый вредонос для перехвата информации — VoidStealer. Он использует новый метод для обхода шифрования, привязанного к браузеру Chrome (ABE, application-bound encryption). Приложение извлекает мастер-ключ для расшифровки пользовательских данных, хранящихся в браузере. Как пишет Bleeping Computer, новый метод более незаметен — он полагается на использование аппаратных точек останова для извлечения ключа v20_master_key.

Из отчета Gen Digital (материнская структура брендов Norton, Avast, AVG и Avira), на который ссылается издание, следует, что такой способ перехвата выявлен впервые.

ABE впервые появился в Chrome 127, выпущенном в июне 2024 года. Этот новый механизм защиты файлов cookie и других конфиденциальных данных браузера гарантировал, что мастер-ключ хранится на диске в зашифрованном виде. Для расшифровки ключа требуется сервис Google Chrome Elevation Service, работающий с системными правами, чтобы подтвердить легитимность запрашиваемых процессов.

VoidStealer полагается на перехват мастер-ключа в тот короткий миг, когда v20_master_key ненадолго присутствует в памяти в незашифрованном виде. Вредонос запускает приостановленный и скрытый процесс браузера, присоединяется к нему как отладчик и ожидает загрузки целевой DLL браузера. Когда DLL загружена, он сканирует её на наличие определенной строки и инструкции LEA, которая на нее ссылается. Адрес этой инструкции используется в качестве цели для аппаратной точки останова.

В основе Google Chrome лежит открытый проект Chromium, популярный среди разработчиков операционных систем во всем мире, в том числе и в России. Так, в СМИ сообщалось о вероятной разработке «Сбером» SberBrowser на базе Chromium, VK разрабатывала браузер Atom, а «Яндекс Браузер» был основан на движке Blink, используемом в браузере Chromium. По данным «Яндекс Радара», Google Chrome — это второй по популярности браузер в России. На март 2026 года доля визитов пользователей, использующих Google Chrome, составляет 30,9%, а доля «Яндекс Браузера» — 38,7%.

В пресс-службе «Яндекс Браузера» в ответ на запрос SecPost ответили, что российская разработка не использует службу Google Chrome Elevation, она поставляется только в комплекте с Google Chrome.

«Данные, сохраненные в «Яндекс Браузере», содержатся в защищенном хранилище. Чтобы дополнительно защитить их, можно включить шифрование паролей с мастер-паролем. Этот пароль не хранится на устройствах, поэтому вредоносные программы не могут его украсть», — рекомендовали в пресс-службе «Яндекс Браузера».

В пресс-службе VK решили воздержаться от комментариев.

«Новый стилер VoidStealer становится угрозой номер один для браузеров, функционирующих на Chromium-движке», — уверена эксперт в области кибербезопасности и инженер-аналитик компании «Газинформсервис» Ирина Дмитриева. Опасность новаторского метода заключается в краже мастер-ключа без видимых инъекций кода или повышения привилегий до уровня системы, что подводит к ключевой необходимости усиления мониторинга угроз конечных точек в российском сегменте корпоративной защиты.

В качестве мер превентивной защиты рекомендуется внедрение антиотладочных механизмов, ассоциированных с этапом запуска браузера, рекомендует Дмитриева. Отдельной процедурой контроля может стать мониторинг аппаратных точек останова для предотвращения перехвата ключей во время старта или работы браузера.

«Для разработчиков браузеров новой принципиальной задачей может стать разработка альтернативного компонента защиты с минимизацией времени хранения открытого ключа в памяти и с дополнительно внедренными отечественными алгоритмами шифрования», — отмечает эксперт.

Дмитриева также отмечает, что уже достаточно давно в российских компаниях распространяется запрет на хранение паролей в памяти браузера из-за повышенных рисков компрометации данных — дело в неэффективной защите мастер-паролей. Даркнет-форумы последние 10 лет регулярно наводняются новыми крадеными данными через инфостилеры, популярность которых не сбавляет обороты. «Осознавая печальные тренды последних лет, «Яндекс Браузер для организаций» уже предусмотрел опцию для ограничения сохранения паролей», — отмечает Дмитриева.

«Распространение VoidStealer требует пересмотра корпоративных политик использования браузеров и хранения паролей, поскольку он обходит технологии защиты в Chrome/Edge, делая встроенные хранилища уязвимыми», — отметил генеральный директор «РуБэкап» Андрей Кузнецов (входит в «Группу Астра»).

Кузнецов также отметил, что российские браузеры также потенциально уязвимы, поскольку используют то же ядро, которое атакует VoidStealer.