Um novo vírus encontrou uma maneira de contornar as proteções do Chrome. Chamado VoidStealer, o malware consegue roubar a chave mestra que protege seus cookies e sessões, abrindo potencialmente o acesso a todas as suas contas online. Distribuído como uma assinatura de “malware como serviço” na dark web, ele inaugura uma técnica de hacking discreta o suficiente para preocupar os pesquisadores.
Um vírus chamado VoidStealer está atacando o Google Chrome. Fixado por pesquisadores da Gen Digital, o malware é um ladrão de informaçõesou seja, malware especializado em roubo de dados. Ele é amplamente disponibilizado aos cibercriminosos por meio de uma assinatura de “malware como serviço”. O vírus apareceu em fóruns da dark web desde pelo menos dezembro de 2025.
Leia também: 26 falhas foram descobertas no Chrome, incluindo 3 vulnerabilidades críticas
Uma chave de criptografia no visor
Projetado principalmente para recuperar dados confidenciais armazenados em navegadores, especialmente Google Chrome e Microsoft Edge, o VoidStealer tem como alvo principal um elemento muito específico : a v20_master_key. Esta é a chave mestra de criptografia/descriptografia que o Chrome usa para proteger cookies e outros dados confidenciais.
Uma vez recuperada pelos hackers, a chave pode se passar pelo navegador e descriptografar todos os dados protegidos. Os hackers ganham assim acesso às sessões ativas das suas contas, sem a necessidade de usar identificadores ou códigos de autenticação multifatorial. É a chave para todas as contas conectadas no Chrome… e, portanto, para grande parte da sua vida digital.
Proteção do Google no caminho para o vírus
O malware se distingue por uma arma importante. No seu arsenal encontramos de facto um mecanismo que lhe permite ignorar o mecanismo de criptografia relacionado à criptografia vinculada a aplicativos (ABE) do Chrome. Este é o mecanismo de proteção do Google projetado para defender cookies e dados confidenciais contra malware. Lançado em junho de 2024, o mecanismo foi projetado, na verdade, para proteger a famosa v20_master_key do Chrome contra ataques cibernéticos.
Concretamente, a ABE armazenará e criptografará a chave nos arquivos de perfil do Chrome. Na verdade, um invasor que consegue recuperar a chave não consegue usá-la. Para usar a chave, o Chrome deve solicitar autorização de um serviço bem específico, o de escalonamento de privilégios. Este serviço verifica se a solicitação vem do navegador Chrome real. Nesse caso, ele descriptografa a chave e a transmite ao navegador para que ele possa ler cookies e dados protegidos. Esse mecanismo deve impedir que um vírus finja ser o Chrome e coloque as mãos na chave. Quando o Chrome obtém permissão para usar a chave, ela acaba brevemente na memória do navegador.
Leia também: Ataque cibernético russo ao Chrome – este malware inteligente é capaz de prender os usuários mais vigilantes da Internet
Um ataque cibernético com um timing muito preciso
É quando o VoidStealer parte para a ofensiva. VoidStealer contorna o mecanismo de proteção do Google não atacando a criptografia no disco, mas reagindo no exato momento em que o Chrome manipula a chave na memória.
O malware começa abrindo uma janela invisível no Chrome. O usuário não vê nada aparecer na tela. Ele não consegue, portanto, perceber que um vírus se prepara para partir para a ofensiva. Ao fingir ser um depurador, uma ferramenta usada pelos desenvolvedores para monitorar um programa por dentro, o vírus se anexará à janela invisível do processo. O malware é “enxertar no navegador como um depurador legítimo”qual “confunde a linha entre atividade legítima e comportamento malicioso”e complica a tarefa das soluções de segurança. Ele é assim capaz de‘observar a memória do navegador em tempo real. Depois de se esconder nas sombras, o malware será paciente.
O vírus esperará que o Chrome seja reiniciado. Na verdade, o navegador é obrigado a carregar cookies protegidos pela ABE. Ele é, portanto, obrigado a descriptografar a chave mestra naquele momento. Depois que o Chrome obtém a chave, ela é brevemente encontrada em texto não criptografado em um registro do processador. VoidStealer o intercepta naquele momento. Ele então copiar chave da memória do Chrome em sua própria memória, o que permite descriptografar cookies e outros dados armazenados no navegador.
Uma nova tendência
Como apontam os pesquisadores, este não é o primeiro malware a encontrar uma maneira de contornar o mecanismo de proteção da chave mestra. Várias famílias de malware para roubo de informações enganaram a ferramenta após sua introdução no Chrome 127. No entanto, é “o primeiro ladrão de informações observado em condições reais a usar esta nova técnica de evasão”explicar Vojtech Krejsa, pesquisador da Gen Digital. O truque provavelmente vem de ferramentas de código aberto, como ChromeKatz/ElevationKatz.
Ao contrário do “métodos clássicos de solução alternativa », a técnica “usado pelo VoidStealer não requer escalonamento de privilégios ou injeção de código, tornando-o significativamente mais discreto”detalha a Gen Digital em seu relatório. Tudo sugere que “outras famílias de malware seguirão rapidamente o mesmo caminho”alertam os pesquisadores. Para evitar ser hackeado pelo VoidStealer, os especialistas recomendam ficar de olho em todos os processos do Chrome, especialmente nos processos em segundo plano. Eles são referenciados no gerenciador de tarefas do navegador.
👉🏻 Acompanhe notícias de tecnologia em tempo real: adicione 01net às suas fontes no Google e assine nosso canal no WhatsApp.
Fonte :
GenDigital