Інфостілер VoidStealer використовує нову техніку для обходу Application-Bound Encryption у браузері Google Chrome, яка захищає збережені паролі, куки та інші дані. Замість ін’єкції коду чи підвищення привілеїв зловмисне ПЗ застосовує апаратні точки зупинки у режимі відладки, щоб безпосередньо витягти ключ v20_master_key з пам’яті процесу chrome.exe. Цей ключ відповідає за шифрування та розшифрування даних у профілі користувача. Техніка дозволяє витягти майстер-ключ без взаємодії з процесом на рівні коду, що робить її менш помітною для антивірусів і EDR-систем. Дослідники Gen Digital виявили, що VoidStealer вперше серед відомих інфостілерів застосовує саме такий підхід у реальних атаках. Зловмисне ПЗ витягує дані з Chrome, а також з інших браузерів і програм. Після витягнення даних вони пакуються та надсилаються на сервер керування. ABE був введений Google для захисту від крадіжки даних браузера навіть при отриманні доступу до файлів профілю, але попередні обхідні шляхи вже блокувалися оновленнями. Новий метод з апаратними точками зупинки працює через налаштування відладкових регістрів процесора, що дозволяє зупиняти виконання в певних адресах пам’яті та читати значення без зміни коду.

Дослідження показало, що VoidStealer активно поширюється через шкідливі сайти, фішингові листи та піратське ПЗ. Він не потребує прав адміністратора та працює на Windows-системах з актуальними версіями Chrome. Обхід ABE робить його ефективним проти захисту, який Google посилив у 2025–2026 роках. Якщо комп’ютер заражений, всі дані браузера вважаються скомпрометованими, включаючи збережені облікові дані для банків, email та корпоративних сервісів. Gen Digital опублікували технічний аналіз, де описали, як саме malware встановлює точки зупинки та витягує ключ за лічені секунди.