Η προσθήκη του αλγορίθμου AES-256 από την Google, για την κρυπτογράφηση των cookies και των κωδικών πρόσβασης, στον Chrome browser φαίνεται ότι δεν είναι πολύ αποτελεσματική απέναντι στα infostealers.
Οι προγραμματιστές πίσω από τα κακόβουλα λογισμικά, που κλέβουν δεδομένα από web browsers, έχουν εξελίξει τα εργαλεία τους για να ξεπεράσουν αυτό το εμπόδιο που έχει βάλει η Google στον Chrome browser.
Ακόμα και το infostealer AZORult έχει λάβει ενημερώσεις κώδικα που το κάνουν συμβατό με την έκδοση Chrome 80.
Τώρα, κυκλοφορεί και ένα νέο λογισμικό κλοπής πληροφοριών, που σύμφωνα με τις διαφημίσεις στα hacking forums, μπορεί να παρακάμψει το νέο επίπεδο κρυπτογράφησης.
Πριν από το Chrome 80
Η Google κυκλοφόρησε το Chrome 80 στις αρχές Φεβρουαρίου. Μέχρι την κυκλοφορία του, τα cookies και οι κωδικοί πρόσβασης στα Windows κρυπτογραφούνταν μέσω του DPAPI στο λειτουργικό σύστημα.
Ο Raveed Laeb, στέλεχος της εταιρείας KELA, δήλωσε ότι το Chrome εξακολουθεί να βασίζεται σε αυτή τη μέθοδο αλλά εισήγαγε και ένα επιπλέον επίπεδο κρυπτογράφησης.
Τα δεδομένα κρυπτογραφούνται αρχικά με το πρότυπο AES και το κλειδί κρυπτογραφείται με τη χρήση του CrypProtectData DPAPI. Η επαναφορά της διαδικασίας και η λήψη του κλειδιού AES-256 γίνεται με τη λειτουργία CryptUnprotectData.
Η Google εξήγησε γιατί έκανε αυτή την αλλαγή, η οποία περιόρισε τα infostealers για λίγο:
“Κάναμε μερικές αλλαγές που θα μας επιτρέψουν να απομονώσουμε το network stack του Chrome στη δική του sandboxed διαδικασία. Ως μέρος αυτών των αλλαγών αλλάξαμε τον αλγόριθμο κρυπτογράφησης κωδικών πρόσβασης / cookies και τους μηχανισμούς αποθήκευσης”.
Με αυτόν τον τρόπο, η Google ισχυρίζεται ότι δυσκολεύει τη δουλειά των hackers που προσπαθούν να κλέψουν δεδομένα με διάφορα προγράμματα.
Η νέα μέθοδος δεν είναι πολύ αποτελεσματική
Η προσθήκη της κρυπτογράφηση AES στον Chrome browser, προκάλεσε αρχικά κάποια εμπόδια στα κακόβουλα λογισμικά, ωστόσο αυτό δεν κράτησε πολύ.
Λίγο μετά την εμφάνιση του νέου Chrome, ανακοινώθηκαν δημόσια ενημερώσεις για τουλάχιστον τέσσερα infostealers, που είχαν προσαρμοστεί στο νέο μηχανισμό, και ήταν σε θέση να κλέψουν τις «προστατευμένες» πληροφορίες.
Τέσσερις μέρες μετά την κυκλοφορία του νέου Chrome, ο δημιουργός του KPot infostealer ανέφερε ότι είχε δημιουργήσει ήδη μια ενημερωμένη έκδοση του κακόβουλου λογισμικού, που μπορούσε να παρακάμψει την κρυπτογράφηση. Το αναβαθμισμένο εργαλείο τέθηκε αμέσως προς πώληση, για $ 90.
Οι δημιουργοί του Raccoon, ενός infostealer που μπορεί να αρπάξει δεδομένα από σχεδόν 60 εφαρμογές (συμπεριλαμβανομένων όλων των δημοφιλών browsers), ανακοίνωσαν ότι κατάφεραν επίσης να παρακάμψουν το νέο επίπεδο ασφαλείας του Chrome 80.
Ωστόσο, την εμφάνισή τους έκαναν και κάποιοι προγραμματιστές νέων infostealers, που υποστηρίζουν ότι μπορούν επίσης να παρακάμψουν την κρυπτογράφηση του Chrome 80. Για παράδειγμα, βρέθηκε μια διαφήμιση σε ένα ρωσικό hacking forum για το Redline, ένα νέο infostealer.
Το AZORult είναι ακόμα «ζωντανό»
Το AZORult ήταν ένα από τα κορυφαία 10 malware κατά το 2019. Ο αρχικός του δημιουργός το «εγκατέλειψε» το Δεκέμβριο του 2018. Ωστόσο, συνέχισαν να το χρησιμοποιούν άλλοι hackers.
Το AZORult ++ αναφέρθηκε για πρώτη φορά τον Μάιο του 2019 και πρόσφατα ανακοινώθηκε η έκδοση 3.4.
Υπάρχουν πολλές παραλλαγές αυτού του infostealer και μια από αυτές φαίνεται τώρα πως είναι συμβατή με το Chrome 80.
Αυτή η έκδοση ανακοινώθηκε στις αρχές Μαρτίου. Η νέα έκδοση προέρχεται ουσιαστικά από μια άγνωστη πηγή και γι’ αυτό το λόγο δεν υιοθετείται σε μεγάλο βαθμό, αλλά χρησιμοποιείται σε μικρές εκστρατείες.
Το Chrome 80 προσπάθησε να εμποδίσει τα infostealers αλλά τα περισσότερα κατάφεραν να παρακάμψουν την κρυπτογράφηση κι έτσι μπορούν να λειτουργήσουν αποτελεσματικά.
