O surgimento do VoidStealer 2.0 acende um alerta sério para usuários do Google Chrome e outros navegadores baseados em Chromium. Esse novo infostealer introduz uma técnica avançada que desafia diretamente uma das proteções mais recentes do navegador: a App-Bound Encryption (ABE).
Diferente de ataques tradicionais, esse malware não tenta quebrar a criptografia. Ele simplesmente espera o momento em que os dados já estão descriptografados na memória e usa breakpoints de hardware para capturar informações críticas.
Isso inclui a v20_master_key, chave essencial usada para proteger senhas, cookies e sessões ativas. Na prática, isso significa que o roubo de dados pode acontecer mesmo em sistemas atualizados e teoricamente seguros.
O que é a criptografia vinculada ao aplicativo (ABE)
A App-Bound Encryption (ABE) foi implementada pelo Google como uma evolução na segurança de navegadores. A proposta é simples: vincular os dados criptografados ao contexto do próprio aplicativo, impedindo que outros processos consigam acessá-los.
Com isso, mesmo que um malware tenha acesso ao sistema, ele não conseguiria descriptografar informações como senhas salvas ou cookies fora do ambiente legítimo do navegador.
Essa proteção foi pensada justamente para barrar técnicas comuns de roubo de cookies Chrome e extração de credenciais via leitura de arquivos ou memória.
No entanto, o problema não está na criptografia em si, mas no momento em que ela deixa de existir, ainda que temporariamente.
Como o VoidStealer 2.0 quebra a segurança
O VoidStealer não ataca diretamente a ABE. Em vez disso, ele explora o comportamento interno do navegador durante a execução.
O ataque começa com a criação de um processo suspenso do Chrome ou Edge. A partir daí, o malware analisa a memória do processo em busca de módulos importantes, como a chrome.dll.
Com acesso a essas estruturas, o invasor utiliza funções como ReadProcessMemory para observar o que acontece dentro do navegador em tempo real.
O ponto crítico está no uso de breakpoints de hardware. Essa técnica permite pausar a execução do código exatamente no momento em que dados sensíveis são manipulados, sem alterar o funcionamento do programa.
Quando a v20_master_key é carregada na memória, o malware intercepta esse instante e copia a chave. Com isso, ele consegue descriptografar informações armazenadas localmente.
O impacto é direto: credenciais, sessões e dados sensíveis ficam expostos, facilitando ataques e acessos não autorizados.
O momento crítico da inicialização
O sucesso do ataque depende do timing. O VoidStealer atua logo na inicialização do navegador.
Esse momento é estratégico porque a chave mestra ainda está sendo carregada e os mecanismos de proteção ainda não estão totalmente ativos.
Ao posicionar breakpoints de hardware nesse estágio, o malware consegue capturar a v20_master_key antes que qualquer barreira adicional seja aplicada.
Essa abordagem é especialmente perigosa porque não depende de vulnerabilidades tradicionais, mas sim do funcionamento normal do sistema.
Malware como serviço (MaaS) e o legado do ElevationKatz
O avanço do VoidStealer também está ligado ao modelo de Malware como Serviço.
Hoje, ferramentas sofisticadas não estão mais restritas a especialistas. Elas são vendidas ou distribuídas como serviço, permitindo que criminosos com pouca experiência executem ataques complexos.
Há indícios de que o malware utiliza conceitos derivados de ferramentas como ElevationKatz, originalmente criadas para pesquisa em segurança.
Esse reaproveitamento mostra um padrão preocupante: técnicas legítimas estão sendo rapidamente adaptadas para exploração maliciosa.
Como se proteger contra infostealers
Diante da evolução dos infostealer, confiar apenas no navegador não é suficiente.
Evite salvar senhas diretamente no Chrome ou Edge. Embora seja prático, isso aumenta o risco em caso de comprometimento.
Prefira gerenciadores de senhas dedicados, que oferecem isolamento e criptografia própria.
Ative a autenticação em dois fatores sempre que possível. Mesmo que credenciais sejam expostas, o acesso não será imediato.
Mantenha sistema e navegador atualizados, já que novas camadas de proteção continuam sendo implementadas.
Evite instalar programas de fontes desconhecidas, principal vetor de infecção.
Utilize soluções de segurança que monitorem comportamento, não apenas assinaturas.
Conclusão: um alerta para o futuro da segurança
O caso do VoidStealer mostra que a evolução da segurança nem sempre acompanha a criatividade dos atacantes.
A App-Bound Encryption (ABE) continua sendo uma tecnologia relevante, mas o chamado bypass ABE revela que proteger dados apenas com criptografia não é suficiente.
Ao explorar o momento em que os dados estão disponíveis na memória, o malware contorna completamente a proteção sem precisar quebrá-la.
Isso reforça a necessidade de novas abordagens em segurança de navegadores, possivelmente com maior integração entre software e hardware.
Enquanto isso, o usuário precisa assumir um papel mais ativo na proteção dos próprios dados. A ameaça evoluiu, e as práticas de segurança também precisam evoluir.