Cum poate fi spartă una dintre cele mai importante protecții din Chrome și furată cheia secretă a browserului
' fill='%23FBBC05' d='M0 37V11l17 13z'/%3e%3cpath clip-path='url(%23b)' fill='%23EA4335' d='M0 11l17 13 7-6.1L48 14V0H0z'/%3e%3cpath clip-path='url(%23b)' fill='%2334A853' d='M0 37l30-23 7.9 1L48 0v48H0z'/%3e%3cpath clip-path='url(%23b)' fill='%234285F4' d='M48 48L17 24l-4-3 35-10z'/%3e%3c/svg%3e){kind=small}
:format(webp)/https://playtech.ro/wp-content/uploads/2026/03/hacker-cropped-1.jpg)
Lupta dintre Google și autorii de malware a intrat într-o nouă etapă, iar miza este una uriașă: accesul la datele sensibile pe care milioane de oameni le păstrează în browser. Un nou infostealer numit VoidStealer a atras atenția cercetătorilor de securitate după ce a fost surprins folosind o metodă diferită de tot ce s-a văzut până acum în atacurile asupra Chrome. Potrivit unei analize publicate de Gen Digital și relatate de presa de securitate, malware-ul reușește să ocolească mecanismul Application-Bound Encryption, prescurtat ABE, și să extragă din memorie cheia principală folosită de browser pentru protejarea datelor precum cookie-urile și alte informații sensibile.
Cazul este important nu doar pentru că afectează Chrome, ci pentru că arată cât de repede se adaptează ecosistemul de malware atunci când marile companii introduc bariere noi de securitate, potrivit presei străine. Google a lansat ABE în Chrome 127 pe Windows, în vara lui 2024, tocmai pentru a face mai dificil furtul de date de către malware care rulează cu aceleași privilegii ca utilizatorul conectat. În esență, protecția muta mai sus ștacheta: cheia nu mai putea fi extrasă simplu de pe disc, iar procesul de decriptare trebuia validat printr-un serviciu Chrome cu privilegii SYSTEM.
Numai că VoidStealer vine cu o demonstrație tulburătoare: chiar și când cheia este protejată mai bine pe disc, ea tot trebuie să existe, pentru scurt timp, în memorie, atunci când browserul decriptează datele de care are nevoie. Iar exact acel moment este exploatat de noul malware. Cercetătorii spun că este primul infostealer observat în mediul real care adoptă un bypass ABE bazat pe debugger și pe hardware breakpoints pentru a extrage direct cheia v20_master_key din memoria browserului, fără escaladare de privilegii și fără injecție de cod.
Cum funcționează trucul folosit de VoidStealer
Metoda este sofisticată tocmai pentru că evită o parte dintre tehnicile clasice care lasă mai multe urme. În loc să încerce să injecteze cod în Chrome sau să obțină acces mai mare în sistem, VoidStealer pornește un proces de browser ascuns și suspendat, apoi se atașează la el ca debugger. De acolo, așteaptă încărcarea bibliotecii relevante, precum chrome.dll sau msedge.dll, și caută în cod un anumit șir de caractere și o instrucțiune de tip LEA care face referire la acel punct. Adresa respectivă devine ținta pentru breakpoint-ul hardware.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1748332487/f12dfc0045278ece42fc181719198e20-t.jpg)
Mai departe, malware-ul setează aceste breakpoint-uri pe firele de execuție ale browserului și așteaptă ca ele să fie atinse în momentul critic al pornirii. De ce la startup? Pentru că exact atunci browserul încarcă și decriptează devreme o parte dintre datele protejate prin ABE, inclusiv cookie-uri și alte informații sensibile, iar cheia master ajunge pentru foarte puțin timp în memorie în format clar. Când breakpoint-ul se declanșează, VoidStealer citește registrul care conține pointerul spre cheia în clar și o extrage cu ReadProcessMemory.
Această tehnică schimbă regulile jocului din două motive. În primul rând, este mai discretă decât multe variante anterioare de bypass ABE, pentru că nu cere privilegii de administrator și nici nu injectează cod direct în browser, două acțiuni mai ușor de prins de unele produse de securitate. În al doilea rând, ea arată că protecțiile care funcționează excelent împotriva metodelor vechi pot fi ocolite atunci când atacatorii mută atacul în punctul exact în care datele trebuie totuși să fie accesibile procesului legitim.
Gen Digital mai notează că VoidStealer este promovat ca platformă malware-as-a-service cel puțin din decembrie 2025 și că mecanismul nou de bypass ABE a fost introdus în versiunea 2.0. Asta sugerează nu doar o evoluție tehnică, ci și o comercializare rapidă a unor metode tot mai avansate, ceea ce poate accelera răspândirea lor în ecosistemul infracțional.
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/google-tantari-316x158.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/UE-Google-316x158.jpg)
De ce vestea este mai gravă decât pare la prima vedere
La prima vedere, subiectul poate părea foarte tehnic și rezervat specialiștilor. În realitate, impactul este mult mai larg. Browserul a devenit în ultimii ani unul dintre cele mai valoroase depozite de date pentru atacatori: cookie-uri de sesiune, credențiale salvate, token-uri de autentificare, informații despre conturi și date care pot fi folosite pentru preluarea altor servicii. De aceea, orice metodă nouă prin care malware-ul poate recupera cheia principală de decriptare din Chrome este importantă nu doar pentru cercetători, ci și pentru companii și utilizatori obișnuiți.
Mai există un element delicat. Cercetătorii spun că VoidStealer probabil nu a inventat de la zero această idee, ci pare să fi adoptat-o din proiectul open-source ElevationKatz, parte din setul de instrumente ChromeKatz, disponibil de mai bine de un an ca demonstrație a slăbiciunilor ABE. Asta înseamnă că granița dintre cercetarea ofensivă, demonstrațiile publice și armele folosite efectiv de infractori rămâne foarte subțire. Ce apare inițial ca proof of concept poate ajunge, relativ repede, în instrumente MaaS vândute pe forumuri obscure.
Pentru Google, situația este incomodă, dar nu complet surprinzătoare. Chiar compania explicase în 2024 că ABE ridică semnificativ nivelul de protecție față de atacurile clasice bazate pe DPAPI, însă nu este o barieră magică împotriva tuturor scenariilor. Iar rapoarte de securitate și cercetări independente au arătat încă din 2024 și începutul lui 2026 că atacatorii continuă să caute și să găsească modalități de a evita noul model de protecție.
Pentru utilizator, concluzia practică este una destul de clară: nu este suficient să te bazezi pe faptul că browserul modern îți protejează automat toate secretele. Aceste straturi de securitate contează enorm și fac atacurile mai dificile, dar nu elimină complet riscul. Infostealer-ele moderne sunt construite exact pentru a lovi în acele momente rare în care datele devin accesibile procesului legitim. Asta înseamnă că protecția reală depinde de mai multe straturi: actualizări rapide, software de securitate capabil să observe comportamente anormale, atenție la executabile suspecte, igienă bună a parolelor și, ideal, autentificare multifactor care să reducă pagubele atunci când un token sau un cookie este compromis.
Povestea VoidStealer arată, de fapt, ceva mai mare decât un simplu incident tehnic. Arată că securitatea browserului a devenit un câmp de luptă de prim rang. Google întărește protecțiile, cercetătorii descoperă limitele lor, instrumentele open-source demonstrează bypass-uri, iar infractorii adoptă rapid ce funcționează. În acest joc, fiecare îmbunătățire contează, dar niciuna nu rămâne suficientă pentru mult timp. Iar când un malware reușește să fure cheia secretă a Chrome folosind un debugger și breakpoint-uri hardware, mesajul este limpede: atacatorii nu mai caută doar uși deschise, ci învață tot mai bine cum să treacă și prin cele încuiate.
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1667480684/dcfefb642b07bced5f435c98e776ae3a-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737978465/17f7be969c9155d0f9076e1516352a3a-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1737972417/2e308f8ebe96a9452dab92a81822ad91-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1646818613/59c06e326a4d8316a6e1887333f3756d-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1683783849/c4c42498077f4fb817c84a64a460d668-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/04/1610191967/2491770cd6c017264174a39c4810c33e-o.png)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/06/1778138107/414e86a75ebda0a6be42cb02aab79810-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/sfm/2026/05/1778137329/6dc8d64d0144773dd351146896b86f6b-o.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Vesti-bune-pentru-turisti.-Statiunile-de-pe-litoral-vor-avea-perdele-verzi-si-zone-umbrite-pentru-mai-multa-racoare-.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/Facebook-stres-romani.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/elon-musk-space-x-bursa.jpg)
:format(webp)/https://playtech.ro/wp-content/uploads/2026/06/avion-seattle.jpg)