برنامج Infostealer الخبيث يتجاوز دفاعات Chrome الجديدة ضد سرقة ملفات تعريف الارتباط

أصدر مطورو البرامج الضارة Infostealer تحديثات تدعي تجاوز ميزة App-Bound Encryption التي تم تقديمها مؤخرًا في Google Chrome لحماية البيانات الحساسة مثل ملفات تعريف الارتباط.

تم تقديم التشفير المرتبط بالتطبيق في Chrome 127 وهو مصمم لتشفير ملفات تعريف الارتباط وكلمات المرور المخزنة باستخدام خدمة Windows التي تعمل بامتيازات النظام.

لا يسمح هذا النموذج لبرنامج infostealer الخبيث، الذي يعمل بأذونات المستخدم المسجل، بسرقة الأسرار المخزنة في متصفح Chrome.

لتجاوز هذه الحماية، سيحتاج البرنامج الخبيث إلى امتيازات النظام أو حقن التعليمات البرمجية في Chrome، وكلاهما إجراءان مزعجان من المرجح أن يؤديا إلى إطلاق تحذيرات من أدوات الأمان،”https://security.googleblog.com/2024/07/improving-security-of-chrome-cookies-on.html” الهدف=”_blank” rel=”nofollow noopener”>قال ويل هاريس من فريق أمان Chrome.

ومع ذلك، فإن الباحثين في مجال الأمن”http://x.com/g0njxa” الهدف=”_blank” rel=”nofollow noopener”>ج0نجكسا وأيضا”http://x.com/RussianPanda9xx” الهدف=”_blank” rel=”nofollow noopener”>الباندا الروسي9xx لقد لاحظت العديد من مطوري برامج سرقة المعلومات يتفاخرون بأنهم قاموا بتنفيذ طريقة عمل لتجاوز أدواتهم (“https://x.com/RussianPanda9xx/status/1834061841548349707″ الهدف=”_blank” rel=”nofollow noopener”>ميدوزا ستيلر,”https://x.com/g0njxa/status/1834232819683360943″ الهدف=”_blank” rel=”nofollow noopener”>وايتسنايك,”https://x.com/g0njxa/status/1836371924852539537″ الهدف=”_blank” rel=”nofollow noopener”>سارق لوما,”https://x.com/g0njxa/status/1835745556536107478″ الهدف=”_blank” rel=”nofollow noopener”> لومار (سارق الفقر),”https://x.com/g0njxa/status/1837093565664539095″ الهدف=”_blank” rel=”nofollow noopener”>فيدار ستيلر,”https://x.com/g0njxa/status/1838221053480325407″ الهدف=”_blank” rel=”nofollow noopener”>سرقةC).

ويبدو أن بعض هذه الادعاءات حقيقية على الأقل، حيث أكد g0njxa لموقع BleepingComputer أن أحدث نسخة من Lumma Stealer يمكنها تجاوز ميزة التشفير في Chrome 129، وهو الإصدار الأحدث حاليًا من المتصفح.

قام الباحث باختبار البرمجيات الخبيثة على نظام Windows 10 Pro في بيئة آمنة.

من حيث التوقيت، قامت Meduza وWhiteSnake بتنفيذ آليات التجاوز الخاصة بهما منذ أكثر من أسبوعين، وLumma الأسبوع الماضي، وVidar وStealC هذا الأسبوع.

استجابت Lumar في البداية لتشفير App-Bound من خلال تنفيذ”https://x.com/g0njxa/status/1835745556536107478/photo/1″ الهدف=”_blank” rel=”nofollow noopener”>حل مؤقت يتطلب ذلك تشغيل البرامج الضارة بحقوق المسؤول، ولكن يتبع ذلك آلية تجاوز تعمل مع امتيازات المستخدم الذي سجل الدخول.

أكد مطورو Lumma Stealer لعملائهم أنهم لا يحتاجون إلى تنفيذ البرامج الضارة بامتيازات المسؤول حتى تعمل سرقة ملفات تعريف الارتباط.

“تمت إضافة طريقة جديدة لجمع ملفات تعريف الارتباط الخاصة بمتصفح Chrome. لا تتطلب الطريقة الجديدة حقوق المسؤول و/أو إعادة التشغيل، مما يبسط عملية إنشاء التشفير ويقلل من فرص الكشف، وبالتالي يزيد من معدل الاختراق.” – مطورو Lumma Stealer

لا يزال من غير المعروف بالضبط كيف يتم تجاوز التشفير المرتبط بالتطبيق، لكن مؤلفي برنامج Rhadamanthys الخبيث علقوا قائلين إن الأمر استغرق منهم 10 دقائق لعكس التشفير.

اتصل موقع BleepingComputer بالشركة العملاقة في مجال التكنولوجيا للحصول على تعليق حول رد مطور البرامج الضارة على App-Bound Encryption في Chrome ولكننا ما زلنا ننتظر الرد.