روش تازه برای سرقت اطلاعات کروم: بدافزار VoidStealer از سد امنیتی گوگل عبور کرد

Q: آیا بدافزار VoidStealer واقعاً رمزنگاری ABE را شکسته است؟

نه دقیقاً. این بدافزار دیوار رمزنگاری را از ریشه خراب نمیکند؛ بلکه همان لحظهای را شکار میکند که کروم برای استفاده از دادهها، کلید رمزگشایی را در حافظه موقت قرار میدهد.

Q: ABE قرار بود از چه چیزی محافظت کند؟

گوگل ABE را برای این ساخت که هر برنامهای با دسترسی عادی کاربر نتواند بهراحتی دادههای حساس کروم، مثل کوکیها و اطلاعات ورود، را رمزگشایی و سرقت کند.

Q: آیا این حمله نیاز به دسترسی ادمین دارد؟

بر اساس تحلیلهای امنیتی، روش VoidStealer برای بیرون کشیدن کلید از حافظه لزوماً به دسترسی ادمین یا تزریق کد به هسته کروم نیاز ندارد. همین موضوع خطر آن را جدیتر میکند.

Q: آیا این خطر فقط مخصوص گوگل کروم است؟

نه لزوماً. هر مرورگر مبتنی بر Chromium که از ABE استفاده میکند، میتواند در برابر چنین روشی آسیبپذیر باشد؛ از جمله Edge، Brave، Opera و Vivaldi.

Q: آیا بهروزرسانی مرورگر جلوی این حمله را میگیرد؟

بهروزرسانی ضروری است، اما کافی نیست. این حمله زمانی خطرناک میشود که بدافزار روی خود سیستم اجرا شده باشد؛ پس جلوگیری از ورود بدافزار، مهمترین لایه دفاعی است.

Q: DBSC چه تفاوتی با ABE دارد؟

ABE از دادههای ذخیرهشده در خود دستگاه محافظت میکند؛ اما DBSC نشست ورود را به همان دستگاه گره میزند تا اگر کوکی دزدیده شد، روی دستگاه دیگری بهسادگی قابل استفاده نباشد.

Q: چرا نباید رمزها و اطلاعات کارت بانکی را در مرورگر ذخیره کنیم؟

چون مرورگرها یکی از هدفهای محبوب بدافزارهای سارق اطلاعات هستند. اگر سیستم آلوده شود، دادههای ذخیرهشده در مرورگر میتوانند به هدفی ارزشمند برای مهاجم تبدیل شوند.

پژوهشگران امنیتی از ظهور بدافزار جدیدی به نام VoidStealer خبر داده‌اند که با دور زدن لایه‌های امنیتی مرورگر گوگل کروم در سیستم‌عامل ویندوز، اطلاعات حساس کاربران را به سرقت می‌برد. این بدافزار «سیستم رمزنگاری مبتنی بر برنامه» (ABE)¹ را در هم شکسته است؛ سپری که گوگل برای محافظت از کوکی‌ها و اطلاعات حیاتی کاربران توسعه داده بود.

معماری امنیتی گوگل کروم: چرا دیوار ABE فرو ریخت؟

گوگل مکانیزم حفاظتی ABE را در اواسط سال ۲۰۲۴ معرفی کرد تا جلوی سرقت «کوکی‌های نشست» (Session Cookies)² را بگیرد؛ فایل‌های مهمی که به کاربران اجازه می‌دهند بدون وارد کردن مجدد نام کاربری و رمز عبور، وارد حساب‌های خود شوند. سرقت این کوکی‌ها به هکرها اجازه می‌دهد تا هویت دیجیتال کاربر را جعل کنند.
تا پیش از این مرورگر کروم در ویندوز، تنها به سیستم قدیمی‌ متکی بود که هکرها به‌راحتی و با استفاده از سطح دسترسی خود کاربر آن را دور می‌زدند. گوگل امیدوار بود با اعمال لایه امنیتی ABE، «کلید اصلی» مورد استفاده کروم برای رمزگشایی اطلاعات حساس، فقط در اختیار خود مرورگر باشد. در این صورت سرقت اطلاعات کاربران نیازمند دسترسی‌های بسیار پیچیده‌تر یا تزریق کد مخرب به هسته کروم می‌شود.

نکته

گوگل با ABE می‌خواست هزینه و ریسک سرقت داده را برای بدافزارها بالا ببرد؛ اما VoidStealer نشان می‌دهد مهاجمان می‌توانند به‌جای شکستن رمزنگاری، سراغ لحظه‌ای بروند که خود مرورگر برای کارکرد طبیعی‌اش ناچار به رمزگشایی داده‌هاست.

با این وجود تبهکاران سایبری به جای حمله مستقیم به این دیوار امنیتی، منتظر ماندند تا کروم خودش درها را باز کند.

نفوذ به حافظه؛ شگرد جدید هکرها

نقطه ضعف اصلی هر سیستم رمزنگاری، لحظه‌ای است که برنامه برای استفاده از داده‌ها، باید آن‌ها را به حالت متنی ساده دربیاورد. بدافزار VoidStealer دقیقاً همین پنجره زمانی بسیار کوتاه را در مرورگر هدف قرار می‌دهد.

توسعه‌دهندگان VoidStealer بدافزار خود را به‌عنوان یک ابزار عیب‌یابی (Debugger) به فرایندهای در حال اجرای کروم متصل می‌کنند. نرم‌افزار مخرب با ایجاد یک وقفه در عملکرد مرورگر، دقیقاً در کسر کوچکی از ثانیه که مرورگر برای استفاده از داده‌ها مجبور به رمزگشایی آن‌هاست، کلید اصلی را به صورت متنِ ساده از حافظه موقت (RAM) می‌رباید.

تهدیدی گسترده فراتر از کروم

این آسیب‌پذیری مختص گوگل کروم نیست و می‌تواند تمامی مرورگرهای مبتنی بر کرومیوم (Chromium)³ را که از ABE استفاده می‌کنند، از جمله اُپرا (Opera)، بریو (Brave) و ادج (Edge) نیز در برابر این حمله آسیب‌پذیر هستند.

خطر زمانی ابعاد گسترده‌تری به خود می‌گیرد که بدانیم VoidStealer به شکل «بدافزار به عنوان سرویس»⁴ در «دارک وب» اجاره داده می‌شود.

هشدار

مدل «بدافزار به‌عنوان سرویس» باعث می‌شود مهاجمان بیشتری بدون نیاز به ساخت بدافزار از صفر، به چنین ابزارهایی دسترسی پیدا کنند. البته اجرای موفق حمله همچنان به فریب قربانی، آلوده‌سازی سیستم و عبور از ابزارهای امنیتی نیاز دارد.

استراتژی‌های دفاعی: فراتر از امنیت مرورگر

با توجه به آسیب‌پذیری‌های ذاتی مرورگرها در برابر تکنیک‌های استخراج حافظه، اتخاذ لایه‌های امنیتی مستقل ضروری است. شما با چند اقدام پیشگیرانه می‌توانید مسیر ورود این تروجان‌های سارق را از اساس مسدود کنید:

دانلود از منابع معتبر: نصب برنامه‌های کرک‌شده یا دانلود فایل از منابع ناشناس، اصلی‌ترین راه ورود این بدافزارها به سیستم است.
آگاهی از حملات ClickFix⁵: هکرها با مهندسی اجتماعی و نمایش خطاهای غیرواقعی شما را فریب می‌دهند تا کدهای مخرب را کپی و در سیستم اجرا کنید.
به‌روزرسانی‌های امنیتی: همیشه سیستم‌عامل و نرم‌افزارهای خود را به آخرین نسخه ارتقا دهید تا راه نفوذ از طریق حفره‌های شناخته‌شده نرم‌افزاری بسته بماند.
نظارت پیوسته توسط آنتی‌ویروس: استفاده از یک راهکار امنیتی قدرتمند کمک می‌کند تا فعالیت‌های مشکوکی مانند اتصال دیباگرهای غیرمجاز به مرورگر، در لحظه شناسایی و متوقف شوند.

نوشدارو +

گوگل برای مقابله با سرقت نشست‌ها فقط به ABE تکیه نکرده و قابلیت Device Bound Session Credentials را هم در Chrome 146 برای ویندوز وارد دسترس عمومی کرده است. این روش نشست ورود را به خود دستگاه گره می‌زند تا کوکی‌های دزدیده‌شده روی دستگاهی دیگر به‌سادگی قابل استفاده نباشند.

آشنایی با حمله «ClickFix»: حواس‌تان به آپدیت‌های قلابی ویندوز باشد!

در آخر؛ به امنیت مرورگرها تکیه نکنید

شکست دیوار امنیتی ABE در گوگل کروم نشان می‌دهد که مرورگرهای وب هرگز گاوصندوق امنی برای ذخیره داده‌های مالی و رمزهای عبور نیستند؛ بنابراین از ذخیره گذرواژه‌ها و اطلاعات کارت‌های بانکی در مرورگرها خودداری کرده و به جای آن از نرم‌افزارهای مستقل و امن مدیریت رمز عبور (مانند بیت واردن) بهره ببرید.

پرسش‌های تکمیلی

آیا بدافزار VoidStealer واقعاً رمزنگاری ABE را شکسته است؟

نه دقیقاً. این بدافزار دیوار رمزنگاری را از ریشه خراب نمی‌کند؛ بلکه همان لحظه‌ای را شکار می‌کند که کروم برای استفاده از داده‌ها، کلید رمزگشایی را در حافظه موقت قرار می‌دهد.

ABE قرار بود از چه چیزی محافظت کند؟

گوگل ABE را برای این ساخت که هر برنامه‌ای با دسترسی عادی کاربر نتواند به‌راحتی داده‌های حساس کروم، مثل کوکی‌ها و اطلاعات ورود، را رمزگشایی و سرقت کند.

آیا این حمله نیاز به دسترسی ادمین دارد؟

بر اساس تحلیل‌های امنیتی، روش VoidStealer برای بیرون کشیدن کلید از حافظه لزوماً به دسترسی ادمین یا تزریق کد به هسته کروم نیاز ندارد. همین موضوع خطر آن را جدی‌تر می‌کند.

آیا این خطر فقط مخصوص گوگل کروم است؟

نه لزوماً. هر مرورگر مبتنی بر Chromium که از ABE استفاده می‌کند، می‌تواند در برابر چنین روشی آسیب‌پذیر باشد؛ از جمله Edge، Brave، Opera و Vivaldi.

آیا به‌روزرسانی مرورگر جلوی این حمله را می‌گیرد؟

به‌روزرسانی ضروری است، اما کافی نیست. این حمله زمانی خطرناک می‌شود که بدافزار روی خود سیستم اجرا شده باشد؛ پس جلوگیری از ورود بدافزار، مهم‌ترین لایه دفاعی است.

DBSC چه تفاوتی با ABE دارد؟

ABE از داده‌های ذخیره‌شده در خود دستگاه محافظت می‌کند؛ اما DBSC نشست ورود را به همان دستگاه گره می‌زند تا اگر کوکی دزدیده شد، روی دستگاه دیگری به‌سادگی قابل استفاده نباشد.

چرا نباید رمزها و اطلاعات کارت بانکی را در مرورگر ذخیره کنیم؟

چون مرورگرها یکی از هدف‌های محبوب بدافزارهای سارق اطلاعات هستند. اگر سیستم آلوده شود، داده‌های ذخیره‌شده در مرورگر می‌توانند به هدفی ارزشمند برای مهاجم تبدیل شوند.

سیستم رمزنگاری مبتنی بر برنامه (ABE)، روشی امنیتی در گوگل کروم است که دسترسی به داده‌های حساس، مثل کوکی‌ها، را به خودِ برنامه مجاز محدود می‌کند. هدف آن این است که بدافزارها نتوانند به‌سادگی اطلاعات ذخیره‌شده مرورگر را از بیرون سرقت کنند. به زبان ساده، داده فقط باید برای همان برنامه‌ای قابل خواندن باشد که اجازه استفاده از آن را دارد. ↩︎
کوکی‌های نشست (Session Cookies)، فایل‌های کوچکی هستند که بعد از ورود به یک حساب کاربری، وضعیت ورود شما را در مرورگر نگه می‌دارند. اگر این کوکی‌ها سرقت شوند، مهاجم ممکن است بدون داشتن رمز عبور، وارد حساب شما شود. به زبان ساده، مثل برگه عبور موقتی است که نشان می‌دهد شما قبلاً وارد شده‌اید. ↩︎
کرومیوم (Chromium)، پروژه متن‌بازِ پایه برای ساخت مرورگرهایی مثل گوگل کروم، مایکروسافت اج و چند مرورگر دیگر است. یعنی بسیاری از مرورگرهای معروف، موتور و بخش‌های اصلی خود را از Chromium می‌گیرند، اما هرکدام امکانات و سیاست‌های جداگانه‌ای به آن اضافه می‌کنند. به زبان ساده، کرومیوم مثل اسکلت مشترکی است که مرورگرهای مختلف روی آن ساخته می‌شوند. ↩︎
بدافزار به‌عنوان سرویس (Malware-as-a-Service)، مدلی است که در آن سازندگان بدافزار، ابزارهای مخرب را مثل یک سرویس آماده در اختیار دیگران می‌گذارند. یعنی فرد مهاجم لازم نیست خودش برنامه‌نویس حرفه‌ای باشد و می‌تواند با خرید یا اجاره ابزار، حمله انجام دهد. این مدل باعث می‌شود اجرای حملات سایبری برای افراد بیشتری آسان‌تر شود. ↩︎
حملات کلیک‌فیکس (ClickFix Attacks)، روشی فریبکارانه است که در آن کاربر با پیام‌هایی مثل رفع خطا، تأیید امنیتی یا حل مشکل مرورگر، به انجام چند دستور خطرناک هدایت می‌شود. در ظاهر کاربر فکر می‌کند دارد مشکلی را برطرف می‌کند، اما در واقع ممکن است خودش بدافزار را اجرا کند. به زبان ساده، مهاجم کاربر را قانع می‌کند با دست خودش در را باز کند. ↩︎

نکته