Infostealers : comment ils se sont adaptés à la dernière protection de Chrome

Les infostealers ne volent pas uniquement identifiants et mots de passe. Ils sont aussi conçus pour dérober les cookies de session. De quoi permettre à un tiers mal intentionné d’aller mettre son nez dans n’importe service en ligne pour lequel la session n’avait pas été fermée, lors de l’exécution du maliciel dérobeur. Redoutable.

Face à cette menace, Google a intégré à Chrome 127 pour Windows un nouveau dispositif de protection : des primitives de chiffrement liées à l’application, ou App-Bound Encryption primitives. 

« Plutôt que de permettre à n’importe quelle application exécutée par l’utilisateur connecté d’accéder à ces données, Chrome peut désormais chiffrer les données liées à l’identité de l’application, de manière similaire au fonctionnement du trousseau sur macOS », expliquait Google dans un billet de blog, fin juillet.

Google a commencé par les cookies, tout en annonçant prévoir d’étendre progressivement le mécanisme aux autres secrets détenus par Chrome : mots de passe, données de paiement, jetons d’authentification persistants, etc. L’objectif était désigné sans ambages : « mieux protéger les utilisateurs des infostealers ».

Mais voilà, les développeurs et opérateurs de ces maliciels étaient décidés à protéger leurs activités lucratives. Stealc/Vidar, Meta, Phemedrone, Xenostealer ou encore Lumma ont tôt fait d’adopter des mesures de contournement. 

Les développeurs de Vidar l’ont annoncé début septembre. Ils suivaient ainsi ceux de Meduza et Lumma, ou encore Lumar – avec un bémol pour ce dernier, les droits administrateur étant nécessaires. 

Les chercheurs en sécurité d’Elastic se sont penchés sur les différentes stratégies adoptées. Selon leurs constatations, les développeurs de StealC se sont appuyés sur des stratégies déployées dans l’outil de sécurité offensive ChromeKatz pour récupérer, en mémoire vive, les précieux cookies.

Meta s’est également adapté avant d’être frappé par une vaste opération judiciaire internationale. Mais il avait besoin de privilèges d’administrateur. Xenostealer a adopté une approche comparable, avec les mêmes limitations. Phemedrone a quant à lui misé une session de débogage à distance de Chrome. 

Une méthode de contournement a par ailleurs été récemment rendue publique sur GitHub, promettant d’accélérer le jeu de chat et de souris désormais solidement engagé.