Quando i blocchi del browser incontrano i trucchi del malware: Vidar e la caccia ai segreti di Chrome
Una tecnica Vidar riportata mostra come il rafforzamento dei browser possa spingere gli infostealer verso l'abuso di processi Windows in esecuzione invece del semplice furto di file.
La nuova protezione di Chrome per cookie e credenziali era pensata per rendere più difficile il furto dai browser su Windows. La più recente analisi di Vidar suggerisce che l'obiettivo non sia far sparire gli attaccanti, ma costringerli a cambiare strategia. Invece di affidarsi a un singolo percorso di decrittazione offline, il malware viene descritto come capace di combinare fork di processi, scansione di pattern in memoria, comportamento correlato ad APC e l'API Windows CryptUnprotectMemory nel tentativo di raggiungere i segreti del browser mentre il programma è attivo.
Fatti rapidi
- Vidar è uno infostealer per Windows associato al furto di credenziali e dati di sessione.
- Google Chrome ha introdotto l'Application-Bound Encryption nel 2024 per rafforzare cookie e credenziali archiviati.
- La tecnica riportata usa CryptUnprotectMemory, un primitivo di protezione della memoria di Windows che lascia comunque il testo in chiaro presente durante l'uso.
- Gen Threat Labs ha documentato il comportamento come un aggiornamento di una variante di Vidar.
- Il rischio pratico è uno spostamento dal furto solo da disco verso attività endpoint più attive e rumorose.
Che cosa suggerisce la tecnica
Application-Bound Encryption cambia l'economia del furto dai browser. Invece di trattare i segreti di Chrome come qualcosa che può essere copiato dal disco e aperto altrove, la protezione lega la decrittazione più strettamente al contesto stesso del browser. Questo alza l'asticella per gli infostealer commodity, ma non elimina la superficie d'attacco se il malware è già in esecuzione localmente.
Il comportamento riportato di Vidar è importante perché richiama una realtà nota di Windows: una volta che un attaccante ha esecuzione di codice su un host, la memoria entra a far parte del bersaglio. CryptUnprotectMemory è una legittima funzione di Windows, ma Microsoft la documenta come meccanismo di protezione della memoria, non come un modo sicuro per archiviare password. In altre parole, può proteggere i dati a riposo nei blocchi di memoria, ma non può impedire che il testo in chiaro esista mentre il software lo utilizza.
Per questo questo caso riguarda più l'adattamento dell'attaccante che una rottura crittografica netta. Le informazioni disponibili supportano un'analisi del rischio, non un'affermazione definitiva che la protezione del browser di Chrome sia stata ampiamente aggirata. Il percorso esatto end-to-end resta poco chiaro dai dettagli pubblici, quindi la lettura più prudente è che Vidar possa far leva sull'accesso ai processi attivi e su comportamenti correlati di Windows per raggiungere materiale sensibile del browser.
Per i difensori, il segnale è importante. Il furto dei segreti del browser si sta spostando verso comportamenti che lasciano più tracce: processi figlio insoliti, fork sospetti, scansione della memoria, attività simili all'injection e log di Windows relativi a tentativi di decrittazione falliti. Il rafforzamento di Chrome aiuta, ma sposta anche il valore del rilevamento verso la telemetria endpoint e il monitoraggio dei processi.
A un livello più ampio, il caso mostra come gli infostealer sopravvivano ai miglioramenti difensivi. Quando una via si chiude, spesso ne cercano una più disordinata che dipende da privilegi, tempismo o interazione diretta con l'applicazione in esecuzione. Questo rende il rafforzamento locale, il controllo dei privilegi e il rilevamento comportamentale importanti quanto la configurazione del browser.
Conclusione
La lezione non è che la protezione del browser abbia fallito. È che la protezione del browser cambia il campo di battaglia. Man mano che Chrome chiude i percorsi semplici di furto, famiglie di malware come Vidar possono essere spinte verso tattiche più rischiose e più osservabili sull'endpoint. Per i team di sicurezza, la mossa vincente è monitorare memoria, comportamento dei processi e log di Windows con la stessa disciplina un tempo riservata ai file sul disco.
TECHCROOK
Chiave di sicurezza hardware: Una chiave di sicurezza hardware aggiunge un secondo fattore fisico per gli accessi ed è un'opzione pratica per email, gestori di password e altri account che supportano l'MFA resistente al phishing. Non risolve un endpoint compromesso, ma può ridurre il valore delle sole password rubate.
WIKICROOK
- Infostealer: Malware progettato per raccogliere credenziali, cookie e altri dati sensibili dai sistemi infetti.
- Application-Bound Encryption: Un modello di protezione del browser che lega la decrittazione al contesto dell'applicazione invece di lasciare i segreti facilmente riutilizzabili altrove.
- CryptUnprotectMemory: Un'API di Windows per proteggere i dati residenti in memoria, ma non un archivio sicuro per password perché il testo in chiaro esiste ancora durante l'uso.
- Process forking: Creazione di un nuovo processo a partire da uno esistente, talvolta usata dal malware per modificare i modelli di esecuzione o eludere il rilevamento.
- APC: Asynchronous Procedure Call, un meccanismo di Windows che può essere abusato per pianificare l'esecuzione di codice all'interno di un processo.




