Bir araştırmacı, Google'ın yeni uygulamaya bağlı şifreleme çerez-çalı savunmalarını atlamak ve Chrome Web tarayıcısından kaydedilmiş kimlik bilgilerini çıkarmak için bir araç yayınladı.
'Chrome-App'e bağlı şifreleme kurutma' olarak adlandırılan araç, siber güvenlik araştırmacısı Alexander Hagenah tarafından başkalarının zaten benzer baypaslar bulduğunu fark ettikten sonra piyasaya sürüldü.
Araç, birden fazla Infostealer operasyonunun kötü amaçlı yazılımlarına zaten eklediğini sağlasa da, kamuya açık kullanılabilirliği, hassas verileri tarayıcılarında saklamaya devam eden krom kullanıcıları için risk oluşturur.
Google, Temmuz ayında (Chrome 127), sistem ayrıcalıklarıyla çalışan bir Windows hizmeti kullanarak çerezleri şifreleyen yeni bir koruma mekanizması olarak uygulamaya bağlı (uygulamaya bağlı) şifrelemeyi tanıttı.
Amaç, hassas bilgileri günlüğe kaydedilmiş kullanıcının izinleriyle çalışan Infostealer kötü amaçlı yazılımlardan korumak, önce sistem ayrıcalıkları kazanmadan çalıntı çerezleri şifresini çözmesini ve güvenlik yazılımında alarm vermesini imkansız hale getirmekti.
Google, "Uygulamaya bağlı hizmet sistem ayrıcalıklarıyla çalıştığı için, saldırganların bir kullanıcıyı kötü amaçlı bir uygulama çalıştırmaya çalıştırmadan daha fazlasını yapmaları gerekiyor."
"Şimdi, kötü amaçlı yazılımların sistem ayrıcalıkları kazanması veya Chrome'a kod enjekte etmesi gerekiyor, bu da meşru yazılımın yapmaması gereken bir şey."
Bununla birlikte, Eylül ayına kadar, birden fazla bilgi çalma şirketi yeni güvenlik özelliğini atlamanın ve siber suçlu müşterilerine Google Chrome'dan hassas bilgileri bir kez daha çalma ve şifresini çözme yeteneği sunmuştur.
Google, BleepingComputer'a, Info-Sealer geliştiricileri ve mühendisleri arasındaki "kedi ve fare" oyununun her zaman beklendiğini ve savunma mekanizmalarının kurşun geçirmez olacağını asla varsaymadıklarını söyledi.
Bunun yerine, uygulamaya bağlı şifrelemenin tanıtılmasıyla, nihayet yavaş yavaş daha sağlam bir sistem inşa etmek için zemin koyacaklarını umuyorlardı. Aşağıda Google'ın o zamandan itibaren yanıtı:
"Bu yeni savunmanın Infostealer manzarasına neden olduğu kesintilerin farkındayız ve blogda belirttiğimiz gibi, bu korumanın enjeksiyon veya bellek kazıma gibi daha gözlemlenebilir tekniklere saldırgan davranışında bir kaymaya neden olmasını bekliyoruz. Bu eşleşiyor. Gördüğümüz yeni davranış.
Bu yeni saldırı türlerini denemek ve daha güvenilir bir şekilde tespit etmek için işletim sistemi ve AV satıcıları ile çalışmaya devam ediyoruz, ayrıca kullanıcılarımız için infostalerlere karşı korumayı geliştirmek için sertleşmeye devam ediyoruz. " - Bir Google sözcüsü
Dün, Hagenah uygulamaya bağlı şifreleme bypass aracını GitHub'da kullanılabilir hale getirerek, herkesin aracı öğrenmesini ve derlemesini sağlayan kaynak kodunu paylaştı.
Proje açıklamasını, "Bu araç, Chrome'un dahili com tabanlı ielevator hizmetini kullanarak Chrome'un yerel durum dosyasında depolanan uygulamaya bağlı şifreli anahtarları şifresini çözüyor."
"Araç, çerezler (ve gelecekte potansiyel olarak şifreler ve ödeme bilgileri) gibi güvenli verilere yetkisiz erişimi önlemek için Chrome'un uygulamaya bağlı şifreleme (ABE) yoluyla koruduğu bu anahtarları almanın ve şifresini çözmek için bir yol sağlar."
Aracı kullanmak için kullanıcılar, yürütülebilir dosyayı genellikle C: \ Program Files \ Google \ Chrome \ Application adresinde bulunan Google Chrome Dizini'ne kopyalamalıdır. Bu klasör korunur, bu nedenle kullanıcılar önce yürütülebilir dosyayı bu klasöre kopyalamak için yönetici ayrıcalıkları kazanmalıdır.
Bununla birlikte, bu, özellikle tüketiciler olmak üzere birçok Windows kullanıcısının idari ayrıcalıkları olan hesapları kullanması genellikle kolaydır.
Krom güvenliği üzerindeki gerçek etkisi açısından, araştırmacı G0NJXA, BleepingComputer'a Hagenah'ın aracının, çoğu infostaler'ın Google Chrome'un tüm sürümlerinden çerezleri çalmayı aştığı temel bir yöntem gösterdiğini söyledi.
Toyota kötü amaçlı yazılım analisti Rus Panda, BleepingComputer'a Hagenah'ın yönteminin, Google'ın Chrome'da uygulamaya bağlı şifrelemeyi ilk uyguladığı zaman geçtikçe erken baypas yaklaşımlarına benzediğini doğruladı.
"Lumma bu yöntemi kullandı - Chrome Ielevator arayüzünü, çerezlerin şifresini çözmek için Chrome'un yükseklik hizmetine erişmek için COM aracılığıyla somutlaştırmak, ancak bu oldukça gürültülü ve tespit edilmesi kolay olabilir."
"Şimdi, Chrome'un Yükseklik Servisi ile doğrudan etkileşime girmeden dolaylı şifre çözme kullanıyorlar".
Ancak G0NJXA, Google'ın hala yakalanmadığını söyledi, bu nedenle Chrome'da depolanan kullanıcı sırları yeni araç kullanarak kolayca çalınabilir.
Bu aracın yayınlanmasına yanıt olarak Google, aşağıdaki ifadeyi BleepingComputer ile paylaştı:
Google, BleepingComputer'a verdiği demeçte, "Bu kod [Xaitax's] yönetici ayrıcalıkları gerektiriyor, bu da bu tür saldırıları başarıyla çıkarmak için gereken erişim miktarını başarıyla yükselttiğimizi gösteriyor."
Doğru yönetici ayrıcalıkları gerekli olsa da, sadece son altı ay içinde sadece artmış, kullanıcıları sıfır gün güvenlik açıkları, Github sorunlarına sahte düzeltmeler ve hatta cevaplar aracılığıyla hedefleyen bilgi çalma kötü amaçlı yazılım işlemlerini etkilememiş gibi görünmektedir. StackOverflow.
Infostealer kötü amaçlı yazılım, Chrome’un yeni çerez-çalı savunmasını atlar
Google, Ublock Menşei ve diğer uzantılar konusunda yakında devre dışı bırakılabilir
ABD tarafından Redline Infostealer kötü amaçlı yazılım oluşturmak için ücretlendirilen Rusça
Yeni Qilin Fidye Yazılımı Şifreleyicisi daha güçlü şifreleme, kaçırma özelliklerine sahiptir
Infostealers'ı iten eklentileri yüklemek için hacklenen 6.000'den fazla WordPress sitesi
Kaynak: Bleeping Computer