Rompiendo la Bóveda del Navegador: El Robo con Depurador de VoidStealer Supera la Última Seguridad de Chrome

Se suponía que era irrompible. En junio de 2024, Google lanzó la Encriptación Vinculada a la Aplicación (ABE) en Chrome 127, una medida aclamada como un cambio radical para la seguridad del navegador. La promesa: tus cookies, contraseñas y secretos, guardados bajo llave con una clave maestra que el malware no podría tocar. Pero la innovación cibercriminal nunca duerme. Ahora, una nueva amenaza llamada VoidStealer ha encontrado la forma de abrir silenciosamente la cerradura digital de Chrome - sin disparar alarmas ni romper ventanas.

Anatomía de un Robo de Alta Tecnología

Durante años, los navegadores han sido un objetivo jugoso para los cibercriminales, ofreciendo un tesoro de credenciales y tokens de sesión. La ABE de Google fue diseñada para cerrar esa bóveda, encriptando la clave maestra en el disco y solo desencriptándola para procesos de confianza. En teoría, el malware ejecutándose a nivel de usuario no podría acercarse - salvo que lograra superar al propio sistema.

El avance de VoidStealer proviene de un giro astuto: en vez de usar fuerza bruta o escalada de privilegios, explota un momento fugaz en la secuencia de arranque de Chrome. Así se desarrolla el golpe:

• El malware lanza un proceso oculto del navegador en estado suspendido y se adjunta a él como depurador.
• Espera a que se cargue la DLL principal de Chrome, escaneándola en busca de una cadena específica y una instrucción clave (LEA) que maneja la clave maestra.
• VoidStealer establece un breakpoint de hardware en esa instrucción, vigilando todos los hilos del navegador.
• Cuando el navegador desencripta la clave maestra durante el arranque, el breakpoint se activa - permitiendo que el malware lea la clave en texto claro directamente de la memoria, usando ‘ReadProcessMemory’.

Esta técnica elude los controles de la ABE de Google porque nunca necesita escalar privilegios ni inyectar código malicioso. En cambio, se aprovecha de operaciones legítimas del navegador, extrayendo secretos en un abrir y cerrar de ojos. El método refleja de cerca los mostrados en el proyecto de código abierto ElevationKatz, pero VoidStealer es el primero en convertirlo en arma “en la naturaleza”.

Investigadores de seguridad de Gen Digital, la empresa matriz de Norton y Avast, advierten que este enfoque es tanto sigiloso como efectivo. Aunque Google ha parcheado bypasses previos de la ABE, el juego del gato y el ratón continúa - ya que cada arreglo es respondido con nuevos y creativos ataques.

¿Qué Sigue para la Seguridad de los Navegadores?

Con las bóvedas de los navegadores nuevamente bajo asedio, la saga de VoidStealer es un recordatorio contundente de que ninguna defensa es definitiva. Mientras los desarrolladores de info-stealers corren para superar a los equipos de seguridad de los navegadores, usuarios y empresas deben mantenerse vigilantes - aplicando parches rápidamente, monitoreando amenazas y sin asumir nunca que sus secretos están a salvo solo porque las cerraduras son nuevas.

WIKICROOK

• Aplicación: Una aplicación es un software diseñado para tareas específicas. En ciberseguridad, proteger las aplicaciones es vital para prevenir ataques que exploten vulnerabilidades del software.
• Breakpoint de Hardware: Un breakpoint de hardware pausa la ejecución cuando se accede a una memoria específica, ayudando a los expertos en ciberseguridad a interceptar y analizar datos sensibles sin alterar el código.
• v20_master_key: La v20_master_key es la clave de encriptación de Chrome, que protege cookies y datos sensibles del navegador contra accesos no autorizados mediante encriptación fuerte.
• Escalada de Privilegios: La escalada de privilegios ocurre cuando un atacante obtiene acceso de nivel superior, pasando de una cuenta de usuario regular a privilegios de administrador en un sistema o red.
• Malware: El malware es un software malicioso diseñado para infiltrarse, dañar o robar datos de dispositivos informáticos sin el consentimiento del usuario.