ІБ-фахівці попередили, що багато інфостилерів уже пропонують функціональність, яка дає змогу обійти нещодавно з’явившуся в Google Chrome функцію App-Bound Encryption, призначену для захисту конфіденційних даних, включно з файлами cookie.

Функція App-Bound Encryption була представлена минулого літа, з релізом Chrome 127. Як розповідали розробники браузера, вона призначається для шифрування файлів cookie і збережених паролів за допомогою служби Windows, яка працює із системними привілеями. Тобто це не дає шкідливим програмам, які працюють із правами залогіненого користувача, викрасти секрети, що зберігаються в Chrome. Адже в теорії для обходу такого захисту малварі знадобляться системні привілеї, а отримати їх непомітно не вийде.

Однак, як повідомляють ІБ-дослідники g0njxa і RussianPanda9xx, розробники одразу кількох інфостилерів уже хваляться тим, що їм вдалося обійти цей захист. Серед них автори: MeduzaStealer, Whitesnake, Lumma Stealer, Lumar (PovertyStealer), Vidar Stealer і StealC.

Видання Bleeping Computer зазначає, що принаймні деякі з цих заяв реальні. Так, g0njxa перевірив і підтвердив журналістам, що остання варіація Lumma справді здатна обійти захист у Chrome 129, тобто в новітній версії браузера.

За інформацією фахівців, автори Meduza і WhiteSnake впровадили свої механізми обходу App-Bound Encryption близько двох тижнів тому, Lumma – минулого тижня, а Vidar і StealC – цього тижня.

При цьому в Lumar спочатку з’явилося тимчасове рішення, що вимагає запуску малварі з правами адміністратора, а потім був розроблений повноцінний механізм обходу, що працює з привілеями залогіненого користувача.

Як саме функціонує обхід App-Bound Encryption поки незрозуміло, але журналісти зазначають, що за словами розробників малварі Rhadamanthys, їм знадобилося близько 10 хвилин, щоб позбутися шифрування.