VoidStealer : infostealer contournant le chiffrement ABE de Chrome

LockSelf Team

5 min de lecture
Partager
VoidStealer : infostealer contournant le chiffrement ABE de Chrome

Analyse technique

Rappel succinct d'Account-Bound Encryption (ABE)

Account-Bound Encryption (ABE) pour Chrome Sync chiffre les données utilisateur en liant les clés au compte Google et à un état local contrôlé par le navigateur³. Sur le papier, ABE réduit fortement l'intérêt d'exfiltrer directement les fichiers chiffrés depuis le disque : sans les artefacts d'authentification appropriés et sans accès au flux de déchiffrement local, ces données restent illisibles. En pratique, la force du mécanisme dépend de la sécurité de l'environnement où résident les clés et jetons - caches mémoire, stores locaux et processus du navigateur. Quand ces éléments sont exposés sur la machine compromise, ABE ne suffit plus à garantir la confidentialité⁴.

Mécanique observée de VoidStealer

1. Entrée initiale et persistance

VoidStealer arrive souvent via des vecteurs classiques : hameçonnage, archives malveillantes ou loaders. Après exécution, il met en place des mécanismes de persistance courants sur Windows : tâches planifiées, clés Run dans le registre ou installation en tant que service. Ces techniques visent à survivre aux redémarrages et à rester furtif.

2. Découverte des profils et collecte d'artefacts

Le malware scanne les processus Chromium en cours, identifie les profils utilisateur actifs et lit les magasins locaux comme LevelDB et le fichier 'Local State'. Ces emplacements contiennent des métadonnées, des jetons chiffrés et parfois des secrets mis en cache. VoidStealer n'attaque pas l'algorithme de chiffrement ABE directement : il cible plutôt l'environnement d'exécution et les artefacts déjà déchiffrés ou accessibles en clair en mémoire².

3. Escalade local et exploitation des caches

Avec des privilèges élevés - notamment SYSTEM - l'opérateur peut injecter du code dans un processus Chrome pour déclencher des opérations légitimes du navigateur et lire les secrets une fois qu'ils sont déchiffrés en mémoire. La technique combine vols de cookies persistants, récupération de jetons OAuth et lecture des fichiers de profils. Ce flux permet de reproduire le processus de déchiffrement local et d'obtenir des données synchronisées sans casser la cryptographie sous-jacente¹ ².

4. Exfiltration et activités post-compromise

Les données collectées comprennent cookies d'authentification, identifiants stockés dans les gestionnaires de mots de passe du navigateur, et autres secrets persistants. Ces éléments sont envoyés vers des serveurs de commande et contrôle (C2). Une fois agrégées, les informations volées sont monétisées sur des marchés illicitess ou utilisées pour des attaques ciblées contre l'entreprise victime².

Pourquoi ABE échoue ici - points techniques précis

Illustration cybersécurité

Le problème central n'est pas la cryptanalyse d'ABE mais la compromission de l'endpoint. Des composants comme le 'Local State' de Chrome contiennent des métadonnées essentielles qui, couplées à des jetons extraits depuis la mémoire ou des caches locaux, permettent de recréer le flux d'authentification et de déchiffrement³. Si un attaquant obtient des droits SYSTEM, l'accès à ces zones devient trivial, rendant ABE inefficace tant que l'environnement d'exécution reste vulnérable.

Impacts business

Risques opérationnels et concrets

  • Prise de contrôle de comptes d'entreprise via cookies ou jetons exfiltrés, donnant accès aux messageries, outils collaboratifs et consoles cloud.
  • Espionnage interne, fraude ou mouvements latéraux vers des ressources critiques après pivot depuis un poste compromis.
  • Risques de non-conformité et obligations de notification quand des données personnelles sont exposées.

Coûts estimés

Les coûts directs d'une fuite incluent enquêtes, notifications réglementaires et rotation de clés et sessions. En 2023, le coût moyen d'une fuite de données était estimé à 4,45 millions de dollars⁴. Les coûts indirects - interruption d'activité, perte de confiance, hausse des primes d'assurance - augmentent encore l'impact financier, particulièrement pour les PME où une seule compromission peut provoquer des perturbations majeures.

Scénarios sectoriels

  • Finance : un jeton volé peut permettre des opérations frauduleuses ou des transferts non autorisés.
  • Technologie : accès à des comptes de développement pouvant conduire à l'installation de ransomwares ou à l'exfiltration de propriété intellectuelle.
  • Secteur public et éducation : obligations légales et exposition d'informations sensibles entraînant sanctions et perte de confiance.

Recommandations

Mesures immédiates (tactiques)

  • Révoquer les sessions et forcer la rotation des jetons OAuth pour les comptes suspectés d'être compromis.
  • Lancer une recherche active d'indicateurs de compromission : processus injectés, connexions sortantes vers domaines C2 connus, modifications des clés de registre et lectures massives des dossiers de profils de navigateurs.
  • Activer ou imposer l'authentification multi-facteurs (MFA) pour réduire l'impact d'un jeton volé.

Mesures opérationnelles (moyen terme)

  • Déployer ou durcir les solutions EDR pour empêcher l'injection de code dans les navigateurs, protéger la mémoire des processus et détecter les accès suspects aux stores locaux (LevelDB, Local State).
  • Appliquer un principe de moindre privilège sur les postes : séparer les sessions admin des usages web et interdire la navigation avec des comptes à privilèges.
  • Centraliser la gestion des secrets : utiliser des vaults d'entreprise et désactiver le stockage automatique des mots de passe dans les navigateurs quand c'est possible.

Mesures stratégiques (long terme)

  • Revoir les flux d'authentification pour privilégier des jetons à courte durée avec une évaluation continue de leur usage.
  • Interdire le stockage à long terme de jetons sur des dispositifs non chiffrés et étendre les protections en profondeur pour les endpoints critiques.
  • Former les équipes opérationnelles et organiser des exercices d'incident centrés sur la compromission des postes utilisateurs et le pivot vers le cloud.

La protection efficace repose sur une combinaison de durcissement des endpoints, de limitation stricte des privilèges et d'outils détectifs capables d'identifier les comportements anormaux avant que les artefacts locaux ne soient exploités.

Questions fréquentes

Que signifie concrètement "contourner" ABE dans ce contexte ?

Contourner signifie que l'attaquant n'a pas cassé les primitives cryptographiques. Il récupère des artefacts, jetons ou secrets présents en clair ou déchiffrés dans l'environnement local et reproduit le flux de déchiffrement pour accéder aux données chiffrées¹ ².

Une mise à jour de Chrome suffit-elle contre VoidStealer ?

Les correctifs de navigateur peuvent réduire certaines expositions d'artefacts ou renforcer l'usage local des clés, mais la protection efficace exige aussi du durcissement des endpoints et des contrôles administratifs. Le patching doit s'accompagner de mesures sur les postes et sur la gestion des privilèges³.

Faut-il révoquer les sessions et changer les mots de passe après suspicion d'infection ?

Oui. Révoquer les sessions, expirer les jetons OAuth et forcer la rotation des identifiants sont des mesures immédiates pour interrompre l'accès des acteurs malveillants et limiter la fenêtre d'exploitation¹.

Quels outils aident à détecter le vol de jetons et d'artefacts ?

Les solutions EDR capables de détecter l'injection dans les processus, la lecture anormale des fichiers de profil de navigateur et les connexions sortantes suspectes, couplées à la corrélation des journaux d'authentification cloud, permettent d'identifier ce type d'activité².

Sources

Lire la suite