Google Chrome, connu pour ses fonctionnalités de sécurité robustes, fait désormais face à de nouvelles menaces de la part des développeurs de malwares Infostealer. Ces acteurs malveillants affirment avoir trouvé des moyens de contourner la dernière fonctionnalité de sécurité de Chrome, App-Bound Encryption, qui a été introduite dans la version 127 de Chrome. Cette fonctionnalité, conçue pour protéger les données sensibles des utilisateurs telles que les cookies et les mots de passe, crypte les informations à l'aide d'un service Windows avec des privilèges système.
Le malware Infostealer contourne les défenses de Chrome
Les créateurs de malwares Infostealer, connus pour cibler les données stockées dans les navigateurs, évoluent rapidement. Plusieurs développeurs ont récemment annoncé avoir réussi à contourner le nouveau système de cryptage de Chrome. Parmi les outils concernés figurent MeduzaStealer, WhiteSnake, Lumma Stealer et Vidar Stealer. Ces programmes malveillants seraient capables de voler des cookies et d'autres données sensibles de Chrome sans avoir besoin d'un accès au niveau du système.
Les chercheurs en sécurité g0njxa et RussianPanda9xx ont confirmé qu'au moins certaines de ces allégations semblent légitimes. Par exemple, g0njxa a vérifié que la dernière version de Lumma Stealer et WhiteSnake peut contourner la fonction de chiffrement de Chrome 129, la version la plus récente du navigateur. Les chercheurs ont effectué des tests sur un système Windows 10 Pro dans un environnement sandbox pour analyser le comportement du malware.
Le chercheur g0njxa a testé la variante Lumma Stealer dans un environnement contrôlé et a confirmé qu'elle contournait la fonction de cryptage de Chrome 129. Cela représente une menace sérieuse. Le cryptage de Chrome était censé protéger les informations d'identification des utilisateurs, même contre les logiciels malveillants exécutés sur le même système.
Un article de RussianPanda9xx a révélé que MeduzaStealer a lancé une version de test prétendant contourner le cryptage de Chrome 127. D'autres outils comme Lumma Stealer ont également emboîté le pas, certains développeurs de logiciels malveillants affirmant que leurs versions mises à jour peuvent désormais extraire les cookies de Chrome 129, la dernière version du navigateur.
La technique de contournement utilisée par le malware Infostealer consiste à manipuler la sécurité de Chrome sans déclencher d'avertissements système. Auparavant, les malwares nécessitaient des privilèges administratifs ou une injection de code pour voler des données. Ces actions entraînaient souvent des alertes de la part des logiciels antivirus. Cependant, les avancées récentes des développeurs de malwares, tels que ceux à l'origine de Lumma Stealer, ont éliminé le besoin de privilèges d'administrateur. Ce changement réduit le risque de détection, ce qui rend le malware plus dangereux.
Menace permanente pour les utilisateurs de Chrome
Le chiffrement lié aux applications de Google était censé empêcher le malware Infostealer d'accéder aux données sensibles, mais les pirates informatiques se sont rapidement adaptés. Les développeurs de malwares affirment avoir déchiffré le chiffrement en quelques minutes. Les détails de la façon dont ils ont contourné le chiffrement restent inconnus, mais cela représente un défi de taille pour l'équipe de sécurité de Google.
Les défenses de Chrome contre les malwares Infostealer sont désormais testées à plus grande échelle, car de plus en plus de développeurs de malwares mettent en œuvre des méthodes de contournement similaires. Des outils comme Vidar Stealer et StealC auraient également intégré des contournements au cours de la semaine dernière, continuant de présenter des risques pour la sécurité en ligne des utilisateurs dans le monde de la technologie.
