Инфостилеры «плюют» на защиту Chrome: обход ABE – лишь дело техники

Летом этого года Google представила новую защиту для браузеров Chrome и Edge, называемую «привязкой к приложению» (Application-Bound Encryption, ABE), чтобы предотвратить кражу cookies и данных авторизации. Однако киберпреступники быстро нашли способы обхода этой защиты, что привело к новой волне активности вредоносных программ, о чём на днях сообщили эксперты компании Red Canary.

Несколько популярных инфостилеров, таких как Stealc, Vidar, LummaC2 и Meduza, уже адаптировались к нововведениям. Основная тактика — использование удалённой отладки Chromium через параметры запуска браузера. Вредоносное ПО создаёт новые скрытые окна браузера с доступом к cookies, что позволяет извлекать данные, не привлекая внимания пользователя. Этот метод применяется также в новых версиях Remcos и Cryptbot.

Другой подход — использование памяти запущенных процессов. С помощью инструмента ChromeKatz злоумышленники выгружают память браузера и извлекают из неё cookies. Эта техника не оставляет видимых следов для антивирусов, но требует точного соответствия адресов в памяти, что делает её уязвимой к изменениям версий Chromium.

Ещё один метод обхода — взаимодействие с COM-интерфейсами браузеров. Некоторые вредоносные программы, такие как Metastealer, используют эту технику, помещая свои файлы в ту же директорию, что и Chrome, для обхода встроенных проверок безопасности.

Также злоумышленники нашли способ обходить ABE через реестр Windows. Путём изменения ключей политики они могут отключить защиту для всех пользователей на устройстве. Это требует прав администратора, но, судя по находкам на VirusTotal, подобный подход уже активно используется.

Несмотря на то, что перспективный способ защиты оказал весьма низкое сопротивление хакерам, специалисты по безопасности всё равно рекомендуют обновлять браузеры до последних версий, так как они включают встроенные меры защиты, препятствующие устаревшим методам атак.

Кроме того, отключение Application-Bound Encryption можно засечь в реестре с помощью следующих системных команд, в зависимости от используемого браузера:

• reg.exe query HKLM\Software\Policies\Google\Chrome /v ApplicationBoundEncryptionEnabled
• reg.exe query HKLM\Software\Policies\Microsoft\Edge /v ApplicationBoundEncryptionEnabled

Если значение ключа равно 0, это указывает на отключённую защиту.

Важно понимать, что в условиях быстро меняющегося ландшафта киберугроз одних только встроенных мер безопасности браузеров уже недостаточно. Компании должны активно использовать расширенные средства защиты, такие как системы обнаружения угроз и анализ поведения, а также регулярно обучать сотрудников по вопросам безопасности. Даже самые современные защитные технологии могут быть быстро взломаны, если за этим стоят опытные и мотивированные злоумышленники.

Противостояние между разработчиками безопасности и киберпреступниками — это не статичный процесс, а постоянная гонка вооружений, где выигрывают те, кто быстрее адаптируется к новым вызовам. Важно всегда оставаться на шаг впереди и не полагаться лишь на базовые меры безопасности.