أصدر أحد الباحثين أداة لتجاوز دفاعات سرقة ملفات تعريف الارتباط الجديدة لتشفير App-Bound من Google واستخراج بيانات الاعتماد المحفوظة من متصفح الويب Chrome.
تم إصدار الأداة، المسماة “Chrome-App-Bound-Encryption-Decryption”، بواسطة باحث الأمن السيبراني ألكسندر هاجينا بعد أن لاحظ أن الآخرين كانوا يكتشفون بالفعل تجاوزات مماثلة.
على الرغم من أن الأداة تحقق ما أضافته بالفعل عمليات سرقة المعلومات المتعددة إلى برامجها الضارة، إلا أن توفرها للعامة يزيد من المخاطر بالنسبة لمستخدمي Chrome الذين يواصلون تخزين البيانات الحساسة في متصفحاتهم.
مشاكل التشفير المرتبطة بتطبيقات Google
جوجل”https://www.bleepingcomputer.com/news/security/google-chrome-adds-app-bound-encryption-to-block-infostealer-malware/” الهدف=”_blank”>قدم التشفير المرتبط بالتطبيق (App-Bound). في يوليو (Chrome 127) كآلية حماية جديدة تعمل على تشفير ملفات تعريف الارتباط باستخدام خدمة Windows التي تعمل بامتيازات النظام.
كان الهدف هو حماية المعلومات الحساسة من البرامج الضارة لسرقة المعلومات، والتي تعمل بأذونات المستخدم المسجل، مما يجعل من المستحيل عليها فك تشفير ملفات تعريف الارتباط المسروقة دون الحصول أولاً على امتيازات النظام وربما إثارة الإنذارات في برامج الأمان.
“Because the App-Bound service is running with system privileges, attackers need to do more than just coax a user into running a malicious app,” وأوضح جوجل في يوليو.
“Now, the malware has to gain system privileges, or inject code into Chrome, something that legitimate software shouldn’t be doing.”
ومع ذلك، بحلول شهر سبتمبر، وجد العديد من سارقي المعلومات طرقًا لذلك”https://www.bleepingcomputer.com/news/security/infostealer-malware-bypasses-chromes-new-cookie-theft-defenses/” الهدف=”_blank”> تجاوز ميزة الأمان الجديدة وتزويد عملائهم من مجرمي الإنترنت بالقدرة على سرقة المعلومات الحساسة وفك تشفيرها من Google Chrome مرة أخرى.
أخبرت Google BleepingComputer بعد ذلك أن “cat and mouse” كانت اللعبة بين مطوري سرقة المعلومات ومهندسيها متوقعة دائمًا ولم يفترضوا أبدًا أن آليات الدفاع الخاصة بهم ستكون مضادة للرصاص.
وبدلاً من ذلك، مع إدخال تشفير App-Bound، كانوا يأملون في أن يمهدوا أخيرًا الطريق لبناء نظام صوتي أكثر تدريجيًا. فيما يلي رد Google في ذلك الوقت:
“نحن ندرك الاضطراب الذي أحدثه هذا الدفاع الجديد في مجال سرقة المعلومات، وكما ذكرنا في المدونة، نتوقع أن تتسبب هذه الحماية في حدوث تحول في سلوك المهاجم إلى تقنيات أكثر وضوحًا مثل الحقن أو تجريف الذاكرة. وهذا يتوافق مع السلوك الجديد الذي رأيناه.
نحن نواصل العمل مع بائعي أنظمة التشغيل وأنظمة التشغيل AV لمحاولة اكتشاف هذه الأنواع الجديدة من الهجمات بشكل أكثر موثوقية، بالإضافة إلى الاستمرار في تكرار الدفاعات القوية لتحسين الحماية ضد سارقي المعلومات لمستخدمينا.” – متحدث باسم Google
تجاوز متاح الآن للجمهور
بالأمس، قام Hagenah بتوفير أداة تجاوز التشفير App-Bound الخاصة به”https://github.com/xaitax/Chrome-App-Bound-Encryption-Decryption” الهدف=”_blank” rel=”nofollow noopener”> على جيثبومشاركة كود المصدر الذي يسمح لأي شخص بالتعلم من الأداة وتجميعها.
“This tool decrypts App-Bound encrypted keys stored in Chrome’s Local State file, using Chrome’s internal COM-based IElevator service,” يقرأ وصف المشروع.
“The tool provides a way to retrieve and decrypt these keys, which Chrome protects via App-Bound Encryption (ABE) to prevent unauthorized access to secure data like cookies (and potentially passwords and payment information in the future).”
لاستخدام الأداة، يجب على المستخدمين نسخ الملف القابل للتنفيذ إلى دليل Google Chrome الموجود عادة في C:Program FilesGoogleChromeApplication. هذا المجلد محمي، لذا يجب على المستخدمين أولاً الحصول على امتيازات المسؤول لنسخ الملف القابل للتنفيذ إلى هذا المجلد.
ومع ذلك، من السهل عادةً تحقيق ذلك نظرًا لأن العديد من مستخدمي Windows، وخاصة المستهلكين، يستخدمون حسابات تتمتع بامتيازات إدارية.
ومن حيث تأثيرها الفعلي على أمان Chrome، يقول الباحث”https://x.com/g0njxa” الهدف=”_blank” rel=”nofollow noopener”>g0njxa أخبر BleepingComputer أن أداة Hagenah توضح الطريقة الأساسية التي تجاوزها الآن معظم سارقي المعلومات لسرقة ملفات تعريف الارتباط من جميع إصدارات Google Chrome.
محلل البرمجيات الخبيثة من تويوتا”https://x.com/RussianPanda9xx” الهدف=”_blank” rel=”nofollow noopener”> الباندا الروسية أكد أيضًا لـ BleepingComputer أن طريقة Hagenah تبدو مشابهة لأساليب التجاوز المبكرة التي اتبعها سارقو المعلومات عندما نفذت Google تشفير App-Bound لأول مرة في Chrome.
“Lumma used this method – instantiating the Chrome IElevator interface through COM to access Chrome’s Elevation Service to decrypt the cookies, but this can be quite noisy and easy to detect,” وقال الباندا الروسي لـ BleepingComputer.
“Now, they are using indirect decryption without directly interacting with Chrome’s Elevation Service”.
ومع ذلك، علق g0njxa بأن جوجل لم تكتشف بعد، لذلك يمكن بسهولة سرقة أسرار المستخدم المخزنة في Chrome باستخدام الأداة الجديدة.
ردًا على إصدار هذه الأداة، شاركت Google البيان التالي مع BleepingComputer:
“This code [xaitax’s] requires admin privileges, which shows that we’ve successfully elevated the amount of access required to successfully pull off this type of attack,” أخبرت جوجل BleepingComputer.
على الرغم من أن امتيازات المسؤول مطلوبة حقًا، إلا أنه لا يبدو أن لها تأثير على عمليات البرامج الضارة لسرقة المعلومات، والتي زادت فقط خلال الأشهر الستة الماضية، والتي تستهدف المستخدمين من خلال”https://www.bleepingcomputer.com/news/security/windows-vulnerability-abused-braille-spaces-in-zero-day-attacks/” الهدف=”_blank”> ثغرات يوم الصفر,”https://www.bleepingcomputer.com/news/security/clever-github-scanner-campaign-abusing-repos-to-push-malware/” الهدف=”_blank”> إصلاحات وهمية لمشكلات GitHubوحتى”https://www.bleepingcomputer.com/news/security/cybercriminals-pose-as-helpful-stack-overflow-users-to-push-malware/” الهدف=”_blank”> الإجابات على StackOverflow.