VoidStealerは、インフォスティーラー型マルウェアです。
2025年12月に登場した新しいマルウェアです。
2026年3月までの期間で実に11回ものバージョンアップした新しいものがリリースされています。
そして、その10回目のバージョンで、新たな機構が搭載されたため、大きく注目が集まっています。
VoidStealerは、どういったものなのでしょうか。
- MaaSで提供
VoidStealerは、MaaS(Malware as a Service)で提供されています。 - デバッガベースの新しいアプリケーションバインド暗号化(ABE)バイパス技術の実装
VoidStealerは、Webブラウザで最大のシェアを持つChromeのなかにある情報を盗み出します。
Chromeは次々と安全のための機構を搭載してきており、常に悪意を持つ機構とのイタチごっこを繰り広げています。
この安全化機構の重要なものの一つがABEです。
ABEは、Application-Bound Encryption、アプリケーションバインド暗号化です。
VoidStealerはこのABEを回避するための機構を複数搭載していますが、その一つが新しい作戦のものとなっています。
この作戦を実装したマルウェアとして初めて確認されたのが、このVoidStealerです。
Chromeで取り扱われる各種認証情報などの重要情報は、ABEで暗号化されています。
このため、通常のChrome以外の機構からは重要情報を平文で読み取ることができません。
しかしVoidStealerの新たな機構は、デバッガーで利用されるハードウェアブレークポイントという機構を悪用し、本来Chromeの内部機構からしか利用できなくしてある暗号化キーの入手を可能としてしまう実装となっています。
これにより、VoidStealerは、暗号化された情報を平文化して取得することができるようになりました。
この手法は、これまで多くのマルウェアで利用されてきたブラウザメモリへの悪意あるコードの直接注入よりもはるかに疑わしくないものとなっています。
このため、多くのセキュリティソフトウェアで誤検出を避けつつこの種の機構を阻止することは簡単ではないでしょう。
この回避機構は、実はVoidStealerのオリジナルではないのかもしれません。
多く公表される概念実証コードの内容を知った脅威アクターが、そのポイントを理解して実装したものであると考えられます。
セキュリティ研究者による概念実証コードの公表は、たびたび明るい部分と暗い部分を作ってしまっているようです。
なんとも悩ましいことです。
VoidStealer: Debugging Chrome to Steal Its Secrets
https://www.gendigital.com/blog/insights/research/voidstealer-abe-bypass
| この記事をシェア |
|
|---|
