最近，Infostealer惡意軟件開(kāi)發(fā)者發(fā)布更新，聲稱可以繞過(guò)谷歌Chrome瀏覽器最近推出的保護(hù)cookie等敏感數(shù)據(jù)的App-Bound Encryption功能。

App-Bound Encryption 是在 Chrome 瀏覽器 127 中引入的，旨在使用一個(gè)以系統(tǒng)權(quán)限運(yùn)行的 Windows 服務(wù)對(duì) cookie 和存儲(chǔ)的密碼進(jìn)行加密。

這種模式不允許以登錄用戶權(quán)限運(yùn)行的信息竊取惡意軟件竊取存儲(chǔ)在 Chrome 瀏覽器中的機(jī)密。

Chrome 瀏覽器安全團(tuán)隊(duì)的Will Harris表示，要想繞過(guò)這種保護(hù)，惡意軟件需要系統(tǒng)權(quán)限或向 Chrome 瀏覽器注入代碼，這兩種操作都可能觸發(fā)安全工具的警告。

然而，安全研究人員 g0njxa 和 RussianPanda9xx 發(fā)現(xiàn)多個(gè)信息竊取程序開(kāi)發(fā)者“吹噓” 他們的工具（MeduzaStealer、Whitesnake、Lumma Stealer、Lumar (PovertyStealer)、Vidar Stealer 和 StealC）已經(jīng)實(shí)現(xiàn)了有效的繞過(guò)。

Whitesnake盜號(hào)軟件從Chrome128中竊取Cookie，來(lái)源：@g0njxa

g0njxa 向 BleepingComputer 證實(shí)，Lumma Stealer 的最新變種可以繞過(guò) Chrome 129（目前最新版本的瀏覽器）中的加密功能。

使用最新版Lumma 從Chrome瀏覽器129中提取 cookie，來(lái)源：@g0njxa

研究人員在沙盒環(huán)境中的 Windows 10 Pro 系統(tǒng)上測(cè)試了該惡意軟件。從時(shí)間上看，Meduza 和 WhiteSnake 是在兩周前實(shí)施繞過(guò)機(jī)制的，Lumma 是在上周，而 Vidar 和 StealC 則是在本周。

Lumar 最初是通過(guò)實(shí)施一種臨時(shí)解決方案來(lái)應(yīng)對(duì) App-Bound Encryption 的，該方案要求以管理員權(quán)限啟動(dòng)惡意軟件，但隨后又推出了一種繞過(guò)機(jī)制，該機(jī)制可登錄用戶的權(quán)限工作。

Lumma Stealer 的開(kāi)發(fā)人員向其客戶保證，他們不需要以管理員權(quán)限執(zhí)行惡意軟件就能竊取 cookie。

Rhadamanthys惡意軟件的作者表示，他們用了10分鐘時(shí)間逆轉(zhuǎn)了加密。

目前該公司暫未對(duì)此事件進(jìn)行進(jìn)一步表態(tài)。