Um vírus chamado VoidStealer é capaz de driblar a Criptografia Vinculada ao Aplicativo (ABE) do Chrome. O malware ainda é capaz de extrair a chave mestra para descriptografar dados confidenciais armazenados no navegador.
O método usado pelo malware especializado em roubar informações é mais discreto. Isso porque ele se baseia em pontos de interrupção de hardware para extrair a “v20_master_key”, usada tanto para criptografia quanto para descriptografia. Ele faz isso diretamente da memória do navegador, sem exigir escalonamento de privilégios ou injeção de código.
O que torna esse caso diferente
A Gen Digital, empresa controladora das marcas Norton, Avast, AVG e Avira, afirma que este é o primeiro caso de um infostealer observado em ambiente real a utilizar tal mecanismo.
O Google estreou o ABE no Chrome 127, lançado em junho de 2024. O objetivo era que ele agisse como um novo mecanismo de proteção para cookies e outros dados confidenciais do navegador. Ele garante que a chave mestra permaneça criptografada no disco e não seja recuperada por meio de acesso normal no nível do usuário.
A descriptografia da chave requer o Google Chrome Elevation Service, que é executado como SYSTEM, para validar o processo solicitante.
Por que o ABE existia e por que não bastou
No entanto, esse sistema já foi contornado por várias famílias de infostealers e até mesmo demonstrado em ferramentas de código aberto. O Google já corrigiu e melhorou o recurso para bloquear esses contornos. No entanto, de acordo com relatos, novas versões de malware continuaram a ter sucesso usando outros métodos.
De acordo com a Gen Digital, o VoidStealer é o primeiro infostealer observado em ambiente real a adotar uma nova técnica de contorno da criptografia vinculada a aplicativos (ABE) baseada em depurador.
O VoidStealer é uma plataforma de malware como serviço (MaaS). Ele está sendo anunciado em fóruns da dark web desde pelo menos meados de dezembro de 2025. O malware introduziu o novo mecanismo de contorno da ABE na versão 2.0.
Roubando a chave mestra
O malware inicia uma instância oculta do Chrome em modo suspenso e se anexa a ela como debugger. Quando a chrome.dll é carregada, ele localiza uma instrução específica dentro do arquivo e define um hardware breakpoint nesse endereço.
Um hardware breakpoint é um mecanismo que pausa a execução do processo num momento exato sem modificar o código. Quando o Chrome tenta descriptografar os dados na inicialização, o breakpoint é acionado e o VoidStealer lê o registrador que aponta para a chave, extraindo-a com ReadProcessMemory.
De onde veio a técnica
Os pesquisadores apontam que o VoidStealer provavelmente se baseou no ElevationKatz, projeto open source que demonstrava essa vulnerabilidade no Chrome há mais de um ano. A implementação tem diferenças, mas a lógica central é a mesma.
O VoidStealer é vendido como Malware-as-a-Service (MaaS) em fóruns da dark web desde pelo menos dezembro de 2025. A técnica de contorno do ABE chegou na versão 2.0 do malware. O que era prova de conceito agora está em produção.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.