تروجان VoidStealer و پایان افسانه امنیت در گوگل کروم!

 مکانیزم ABE چیست و چرا شکست خورد؟

در گذشته، کروم برای حفاظت از داده‌ها تنها به سیستم DPAPI  ویندوز متکی بود. مشکل اینجا بود که هر بدافزاری که با دسترسی کاربر اجرا می‌شد، می‌توانست از سیستم بخواهد داده‌ها را رمزگشایی کند. گوگل برای حل این مشکل ABE را معرفی کرد؛ سیستمی که رمزنگاری را مستقیماً به «اپلیکیشن کروم» گره می‌زند. یعنی فقط خودِ مرورگر کروم اجازه دسترسی به کلید اصلی (Master Key) را دارد.

۲. شگرد جدید VoidStealer: شکار در لحظه طلایی

تروجان VoidStealer  به جای تلاش برای شکستن رمزنگاری، از یک ضعف ساختاری در نحوه عملکرد حافظه استفاده می‌کند.

• حمله Debugger: این بدافزار مانند یک ابزار عیب‌یابی (Debugger) به پروسه در حال اجرای کروم متصل می‌شود.
• توقف در نقطه بازگشایی: بدافزار دقیقاً لحظه‌ای را هدف قرار می‌دهد که کروم برای استفاده از کوکی‌ها یا رمزهای عبور، ناچار است کلید اصلی را در حافظه RAM  از حالت رمزنگاری خارج کند.
• سرقت از رم: در آن لحظه کوتاه که کلید به صورت متن ساده (Plaintext) در حافظه قرار دارد، VoidStealer  اجرای مرورگر را متوقف کرده و کلید را مستقیماً از حافظه موقت می‌رباید.

۳. چرا این موضوع نگران‌کننده است؟

این روش بسیار موثر است زیرا به جای حمله به کد رمزنگاری، به منطق کارکرد حافظه حمله می‌کند. نکته دیگر این است که VoidStealer به صورت Malware-as-a-Service (MaaS) عرضه می‌شود؛ یعنی سازندگانش آن را به هکرهای دیگر اجاره می‌دهند تا در مقیاس وسیع از کاربران جاسوسی کنند. همچنین، تمام مرورگرهای مبتنی بر کرومیوم مثل Edge، Brave و Opera نیز در معرض این خطر هستند.

توصیه‌های امنیتی تحریریه ۲۴ نیوز:

ما در ۲۴ نیوز پیشنهاد می‌کنیم برای مقابله با این تهدید، استراتژی خود را تغییر دهید:

1. مرورگر، گاوصندوق نیست: از ذخیره پسوردهای حساس و اطلاعات بانکی در کروم خودداری کنید.
2. مدیریت رمز عبور مجزا: حتماً از یک Password Manager  اختصاصی مثل Bitwarden استفاده کنید که داده‌ها را در محیطی جدا از مرورگر نگهداری می‌کند.
3. هوشیاری در برابر ClickFix: مراقب پیام‌های جعلی که از شما می‌خواهند برای حل مشکل سایت، کدی را کپی و اجرا کنید باشید؛ این یکی از اصلی‌ترین روش‌های انتشار این تروجان است.

برگردان و تنظیم: تحریریه ۲۴ نیوز (بهراد یوسفی)