Cybercriminelen claimen dat ze een nieuwe beveiligingsmaatregel in Google Chrome die het stelen van cookies moet tegengaan, kunnen omzeilen. Google zegt op de hoogte te zijn van de nieuwe aanvallen die dit mogelijk maken.
Google introduceerde eind juli het zogenaamde Application-Bound Encryption in Chrome 127 voor Windows. Daarmee kan Chrome cookies en opgeslagen wachtwoorden versleutelen aan de hand van een Windows-dienst die met systeemprivileges draait. Dergelijke data wordt op zo'n manier versleuteld dat de encryptie gekoppeld is aan de appidentiteit, vergelijkbaar met hoe de Keychain op macOS werkt.
Application-Bound Encryption voorkomt dat infostealermalware ingezet kan worden om cookies en wachtwoorden die in de Chrome-browser zijn opgeslagen te stelen. Om die data toch te stelen, zou malware systeemprivileges moeten hebben of code moeten injecteren in Chrome. Volgens Google zijn dat echter acties die waarschijnlijk worden gedetecteerd door beveiligingstools.
Toch zijn er al makers van infostealermalware die zeggen dat ze de beveiliging kunnen omzeilen, melden beveiligingsonderzoekers g0njxa en RussianPanda9xx op X. Het gaat onder meer om Lumma Stealer, MeduzaStealer en Whitesnake. De onderzoekers zeggen tegenover BleepingComputer dat ze de claims van Lumma Stealer, Vidar en Lumma geverifieerd hebben en deze malwarevarianten inderdaad cookies uit Chrome kunnen stelen op Windows, ondanks Application-Bound Encryption.
Hoe de cybercriminelen de beveiliging van Chrome precies weten te omzeilen, is niet bekendgemaakt. De makers van malware genaamd Rhadamanthys stellen echter dat het hen slechts tien minuten kostte om de versleuteling van data terug te draaien. Google zelf zegt tegenover BleepingComputer dat het bedrijf op de hoogte is van de ontwikkelingen en dat het met partners werkt aan manieren om deze aanvallen goed te detecteren.