Er is een nieuwe speler opgedoken in de wereld van infostealers. De malware, die de naam VoidStealer draagt, gebruikt een opvallend geraffineerde techniek om gevoelige gegevens uit Google Chrome te halen, ondanks beveiligingsmaatregelen die dat net moesten voorkomen.
De aanpak van VoidStealer richt zich op een belangrijke beschermlaag in Chrome: Application-Bound Encryption (ABE). Die techniek, geïntroduceerd door Google in 2024, zorgt ervoor dat gevoelige data zoals cookies versleuteld blijft en dat de sleutel daarvoor niet zomaar toegankelijk is. In theorie zou die ‘master key’ enkel ontsleuteld kunnen worden via een systeemproces met verhoogde rechten. In de praktijk blijkt dat dus niet waterdicht.
Wat VoidStealer anders maakt, is hoe het die bescherming omzeilt. In plaats van klassieke technieken zoals code-injectie of het verkrijgen van extra rechten, maakt de malware gebruik van een debugger-truc. Concreet start het een verborgen browserproces op en ‘luistert’ het mee op een heel specifiek moment: wanneer Chrome zelf de sleutel tijdelijk in het geheugen heeft om gegevens te ontsleutelen. Via zogenaamde hardware breakpoints weet de malware exact dat moment te detecteren. Op dat ogenblik leest het simpelweg de sleutel uit het geheugen. Het is dus geen ingewikkelde hack, maar gewoon perfect getimed meekijken.
Volgens onderzoekers van Gen Digital is dit de eerste keer dat een infostealer deze techniek effectief in echte aanvallen gebruikt. Het idee zelf is niet volledig nieuw. Gelijkaardige methodes circuleerden al in open-source tools, maar dit is de eerste keer dat cybercriminelen de methode op grote schaal toepassen. VoidStealer zelf wordt aangeboden als een zogenaamde malware-as-a-service, wat betekent dat ook minder technische aanvallers die kunnen inzetten.
De ontdekking toont nog maar eens hoe moeilijk het is om browsers volledig waterdicht te maken. Beveiligingslagen zoals ABE maken het aanvallers een stuk lastiger, maar niet onmogelijk. Het blijft dus een kat-en-muisspel: elke nieuwe bescherming wordt vroeg of laat getest (en soms ook gekraakt) door aanvallers die steeds creatiever te werk gaan.
Voor gebruikers verandert er weinig aan het basisadvies: houd je browser up-to-date, wees voorzichtig met verdachte downloads en installeer alleen extensies en software die je vertrouwt. Want zelfs de beste beveiliging helpt zelden nog eens de malware binnen is geraakt.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Volg Clickx op Google Nieuws om onze nieuwste artikels in je feed te krijgen. Vergeet niet om op ‘Volgen’ te klikken.
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
