VoidStealer aggira Chrome e ruba la chiave segreta senza lasciare tracce

La protezione dei dati nei browser Web moderni passa per l’utilizzo di meccanismi avanzati di cifratura, progettati per impedire l’accesso diretto a credenziali, cookie e token di sessione. Una delle innovazioni più rilevanti è arrivata con Chrome 127, rilasciato nel 2024, che ha introdotto la Application-Bound Encryption come risposta alla crescente diffusione di malware specializzati nel furto di dati. Nonostante questo rafforzamento, la comparsa di nuove famiglie di infostealer dimostra quanto sia dinamico il confronto tra meccanismi di difesa e tecniche offensive.

VoidStealer è un nuovo malware che adotta un approccio inedito per aggirare le protezioni del browser, sfruttando direttamente i meccanismi di debugging del sistema operativo.

Application-Bound Encryption: obiettivo e limiti operativi

Google ha progettato Application-Bound Encryption per legare la chiave di cifratura dei dati conservati dal browser a un contesto applicativo verificato.

In pratica, Chrome conserva la chiave principale – nota come v20_master_key – in forma cifrata su disco, rendendola accessibile solo tramite un servizio privilegiato chiamato Chrome Elevation Service, eseguito con i privilegi SYSTEM.

L’architettura impedisce a processi non autorizzati di ottenere direttamente la chiave, ma introduce una necessità tecnica inevitabile: durante l’esecuzione, la chiave deve essere temporaneamente disponibile in memoria in chiaro per consentire la decrittazione dei dati.

È proprio questa finestra temporale che i malware più evoluti cercano di sfruttare, evitando di attaccare il dato a riposo e concentrandosi invece sul momento della sua elaborazione.

VoidStealer e il modello MaaS (Malware-as-a-Service) in evoluzione

VoidStealer si afferma dalla fine del 2025 come una piattaforma MaaS (Malware-as-a-Service, ovvero malware offerto come servizio a pagamento), diffusa nei forum clandestini online e soggetta ad aggiornamenti molto frequenti per migliorarne funzionalità ed efficacia. Le versioni iniziali adottavano tecniche già note, come l’iniezione di codice nei processi del browser o l’abuso delle interfacce COM per richiamare funzioni di decodifica.

La versione 2.0 introduce però un cambiamento sostanziale: un metodo che elimina sia la necessità di privilegi elevati sia quella di modificare il codice del browser.

È una scelta che riduce drasticamente la superficie di rilevamento da parte degli strumenti di sicurezza, che spesso si basano proprio su segnali come injection o escalation dei privilegi.

La tecnica del debugger: un bypass chirurgico

Il cuore dell’innovazione di VoidStealer risiede nell’uso delle API di debugging di Windows.

Il malware crea un processo del browser in stato sospeso tramite la funzione API Win32 CreateProcessW con un flag come CREATE_SUSPENDED, quindi si collega ad esso utilizzando DebugActiveProcess.

Una volta stabilita la sessione di debug, il codice resta in attesa del caricamento delle librerie critiche come chrome.dll o msedge.dll. A questo punto, il malware esegue una scansione mirata della memoria per individuare una sequenza specifica associata alla routine di decodifica, tra cui stringhe come OSCrypt.AppBoundProvider.Decrypt.ResultCode.

Individuato il punto preciso, VoidStealer imposta un breakpoint hardware su una singola istruzione. A differenza dei breakpoint software, quelli hardware sfruttano registri CPU dedicati e non modificano il codice in memoria, rendendo il comportamento molto meno visibile agli strumenti di analisi.

Il malware utilizza registri di debug per configurare breakpoint su tutti i thread del browser: il breakpoint si attiva esattamente nel momento in cui la chiave master è disponibile in chiaro.

In quel preciso istante, un registro contiene un puntatore diretto alla chiave: VoidStealer esegue quindi una semplice lettura tramite ReadProcessMemory, evitando qualsiasi operazione invasiva o scansione massiva della memoria. L’approccio riduce il rumore operativo e aumenta la probabilità, per il malware, di passare inosservato.

Implicazioni per la sicurezza dei browser Web

L’emergere di tecniche come quella impiegata da VoidStealer evidenzia un limite evidente della sicurezza basata esclusivamente sulla cifratura dei dati a riposo.

Anche un sistema robusto come Application-Bound Encryption non può impedire che una chiave sia esposta temporaneamente, e proprio questa fase rappresenta oggi il punto più vulnerabile.

Le conseguenze sono concrete: una volta ottenuta la chiave master, un attaccante può decifrare password salvate, cookie di sessione e token di autenticazione, facilitando attacchi di session hijacking e accesso non autorizzato a servizi online.

Le contromisure devono spostare l’attenzione dal solo controllo dell’accesso ai dati verso il monitoraggio del comportamento dei processi. In particolare, diventa fondamentale individuare attacchi che coinvolgono sessioni di debug non autorizzate, accessi anomali alla memoria dei browser e pattern di esecuzione sospetti durante l’avvio delle applicazioni.

Strumenti EDR (Endpoint Detection and Response) avanzati possono analizzare l’uso delle API di debugging e correlare eventi come DebugActiveProcess e ReadProcessMemory su processi “sensibili”.

L’uso della 2FA e MFA riduce inoltre l’impatto del furto di credenziali, mentre l’isolamento dei browser e la segmentazione delle attività online limitano l’esposizione complessiva.

VoidStealer rappresenta un esempio concreto di come le tecniche offensive evolvano verso approcci più discreti e mirati. La sfida per la difesa non riguarda più soltanto la protezione dei dati, ma la capacità di osservare e interpretare comportamenti che, presi singolarmente, appaiono del tutto legittimi.