دور زدن رمزنگاری اپلیکیشن در کروم توسط بدافزار VoidStealer

مرورگرها همچنان یکی از اهداف اصلی مهاجمان سایبری محسوب می‌شوند. گزارش‌های جدید نشان می‌دهد دور زدن رمزنگاری اپلیکیشن در کروم به روشی عملی برای برخی بدافزارهای سرقت اطلاعات تبدیل شده است. پژوهشگران امنیتی اعلام کرده‌اند که بدافزار VoidStealer با بهره‌گیری از یک تکنیک نوین، دور زدن رمزنگاری اپلیکیشن در کروم را محقق کرده و از این طریق به داده‌های حساسی مانند کوکی‌های نشست، توکن‌های احراز هویت و سایر اطلاعات ذخیره‌شده کاربران دسترسی یافته است.

این یافته نشان می‌دهد حتی مکانیزم‌های امنیتی پیشرفته مرورگرها نیز ممکن است در برابر نسل جدید بدافزارهای سرقت اطلاعات (Infostealer) آسیب‌پذیر باشند.

چالش امنیتی رمزنگاری وابسته به اپلیکیشن

رمزنگاری وابسته به اپلیکیشن (App‑Bound Encryption یا ABE) یک مکانیزم امنیتی است که گوگل در ژوئیه 2024 برای مرورگر کروم معرفی کرد. هدف این مکانیزم محافظت از داده‌های حساس مرورگر در برابر بدافزارهای سرقت اطلاعات است. این داده‌ها شامل موارد زیر می‌شوند:

کوکی‌های نشست
رمزهای عبور ذخیره‌شده
توکن‌های احراز هویت
اطلاعات پرداخت

مرورگر کروم در سیستم‌عامل‌های macOS و Linux، برای محافظت از این داده‌ها از سرویس‌های امنیتی سیستم مانند Keychain یا walletهای امنیتی سیستم‌عامل استفاده می‌کند.

اما در ویندوز شرایط متفاوت است. در این سیستم‌عامل، کروم از رابط برنامه‌نویسی حفاظت از داده‌ها (DPAPI) برای رمزنگاری داده‌ها استفاده می‌کند؛ قابلیتی که در برابر برنامه‌هایی که خود را به‌عنوان کاربر قانونی سیستم اجرا می‌کنند، محافظت کامل ارائه نمی‌دهد.

به همین دلیل گوگل مکانیزم ABE را معرفی کرد تا تنها خود برنامه کروم بتواند داده‌های رمزنگاری‌شده را رمزگشایی کند. با این حال پژوهش‌ها نشان داده‌اند که در برخی شرایط همچنان امکان دور زدن رمزنگاری اپلیکیشن در کروم وجود دارد.

دلایل امکان‌پذیر بودن دور زدن رمزنگاری اپلیکیشن در کروم

با وجود طراحی این لایه امنیتی، پژوهشگران و حتی توسعه‌دهندگان بدافزار تقریباً بلافاصله پس از معرفی آن روش‌هایی برای استخراج داده‌های مرورگر شناسایی کردند. در حال حاضر نیز چندین بدافزار شناخته‌شده از نوع Infostealer همچنان قادرند اطلاعات ذخیره‌شده در مرورگر را جمع‌آوری کنند؛ از جمله:

Meduza Stealer
Whitesnake
Lumma Stealer
Lumar

این بدافزارها می‌توانند داده‌هایی مانند کوکی‌های نشست، توکن‌های احراز هویت و سایر اطلاعات ذخیره‌شده مرورگر را استخراج کنند. این موضوع نشان می‌دهد که در برخی سناریوها همچنان امکان دور زدن رمزنگاری اپلیکیشن در کروم وجود دارد.

تحقیقات امنیتی درباره دور زدن رمزنگاری اپلیکیشن در کروم

علاوه بر توسعه‌دهندگان بدافزار، پژوهشگران امنیتی نیز روش‌هایی برای استخراج داده‌های محافظت‌شده مرورگر ارائه داده‌اند.

پژوهشگری به نام Alex Hagenah نشان داد که مهاجمان می‌توانند حتی در شرایط فعال بودن ABE، اطلاعاتی مانند موارد زیر را استخراج کنند:

کوکی‌ها
رمزهای عبور
اطلاعات پرداخت
توکن‌های احراز هویت

در این تحقیق از ترکیبی از تکنیک‌های پیشرفته استفاده شد، از جمله:

اجرای بدون فایل (Fileless Execution)
اجرای کد در حافظه
Process Hollowing
فراخوانی مستقیم سیستمی (Direct System Calls)

این تکنیک‌ها به بدافزار اجازه می‌دهند فعالیت خود را شبیه عملکرد طبیعی سیستم یا مرورگر نشان دهد. علاوه بر این، شرکت CyberArk در سال گذشته تکنیکی موسوم به حمله C4 معرفی کرد که حتی با سطح دسترسی پایین کاربر امکان رمزگشایی کوکی‌های کروم را فراهم کرده و اثبات می‌کند که در برخی شرایط، دور زدن رمزنگاری اپلیکیشن در کروم ممکن است.

تکنیک VoidStealer برای دور زدن رمزنگاری اپلیکیشن در کروم

بدافزار VoidStealer از رویکردی متفاوت نسبت به روش‌های قبلی استفاده می‌کند. طبق تحلیل پژوهشگران کسپرسکی، این بدافزار به جای حمله مستقیم به الگوریتم رمزنگاری، لحظه‌ای را هدف قرار می‌دهد که مرورگر مجبور است داده‌ها را رمزگشایی کند.

زمانی که کاربر:

وارد یک وب‌سایت می‌شود.
یا از اطلاعات ذخیره‌شده برای ورود به حساب کاربری استفاده می‌کند.

مرورگر کروم برای مدت کوتاهی کلید اصلی رمزنگاری را در حافظه به صورت متن ساده نگه می‌دارد. مهاجمان VoidStealer از همین پنجره زمانی کوتاه برای استخراج این کلید استفاده کرده و از این طریق به داده‌های مرورگر دسترسی پیدا می‌کنند.

سوءاستفاده از دیباگر برای استخراج کلید رمزنگاری

بدافزار VoidStealer برای دستیابی به داده‌های حساس از مکانیزم دیباگر استفاده می‌کند که شامل مراحل زیر است:

اتصال به پردازه مرورگر به عنوان دیباگر
شناسایی نقطه اجرای فرآیند رمزگشایی داده‌ها
توقف پردازه مرورگر کروم در همان لحظه
استخراج کلید رمزنگاری به صورت مستقیم از حافظه

در شرایط عادی، دیباگر ابزاری قانونی برای توسعه‌دهندگان است تا خطاهای نرم‌افزار را بررسی کنند؛ اما در این سناریو مهاجمان از آن برای بهره‌برداری از حافظه مرورگر استفاده می‌کنند. در این حالت مهاجم با دسترسی به حافظه مرورگر می‌تواند کلید رمزنگاری را استخراج کرده و داده‌های محافظت‌شده را بازیابی کند.

چرا این تکنیک خطرناک است؟

روش مورد استفاده در VoidStealer چند ویژگی مهم دارد:

نیاز به افزایش سطح دسترسی (Privilege Escalation) ندارد.
از ابزارهای قانونی سیستم مانند دیباگر استفاده می‌کند.
حمله در حافظه سیستم انجام می‌شود.
تشخیص آن برای بسیاری از ابزارهای امنیتی دشوار است.

به همین دلیل کارشناسان معتقدند دور زدن رمزنگاری اپلیکیشن در کروم می‌تواند به یکی از تکنیک‌های رایج در نسل جدید بدافزارهای Infostealer تبدیل شود.

جمع‌بندی

ظهور بدافزار VoidStealer نشان می‌دهد همچنان رقابت میان توسعه‌دهندگان مرورگر و توسعه‌دهندگان بدافزار ادامه دارد. با وجود معرفی مکانیزم امنیتی ABE برای محافظت از داده‌های کاربران، پژوهش‌های امنیتی نشان می‌دهد مهاجمان همچنان قادرند روش‌هایی برای دور زدن رمزنگاری اپلیکیشن در کروم پیدا کنند.

این موضوع اهمیت استفاده از راهکارهای امنیتی قدرتمند در سطح Endpoint، به‌روزرسانی مداوم مرورگرها و مانیتورینگ عملکردهای غیرعادی سیستم را بیش از پیش آشکار می‌کند، زیرا حتی پیشرفته‌ترین مکانیزم‌های امنیتی نیز در برابر تکنیک‌های نوآورانه مهاجمان آسیب‌پذیر هستند.

منابع

https://www.darkreading.com/endpoint-security/yet-another-way-bypass-google-chromes-encryption-protection