Descoberta e escopo
Uma nova variante do infostealer VoidStealer chamou a atenção da comunidade de segurança por ser a primeira malícia conhecida a contornar a criptografia Application-Bound Encryption (ABE) do Google Chrome sem exigir injeção de código ou elevação de privilégios. A variante, introduzida na versão 2.0 do VoidStealer em 13 de março de 2026, utiliza uma técnica baseada em depurador para extrair credenciais de navegador criptografadas diretamente da memória, marcando uma mudança significativa na abordagem de roubo de credenciais.
O que mudou agora
O Google introduziu o ABE em julho de 2024 com o Chrome 127, visando tornar consideravelmente mais difícil para malwares acessar dados sensíveis do navegador, como senhas salvas e cookies. A proteção funciona vinculando a chave de criptografia — conhecida como v20_master_key — a um serviço de nível SYSTEM chamado Google Chrome Elevation Service, que executa com os privilégios mais altos no Windows.
Vetor e exploração
Embora isso tenha elevado significativamente a barreira, não impediu que atores de ameaças encontrassem maneiras mais inteligentes de contorná-la. Desde o lançamento do ABE, várias técnicas de bypass surgiram, cada uma com trade-offs diferentes entre discrição e confiabilidade. O VoidStealer v2.0 adaptou uma abordagem do projeto open-source ElevationKatz, tornando-se o primeiro infostealer visto em uso real utilizando essa técnica.
Evidências e limites
A verdadeira perigo desta variante reside em sua pegada de detecção incomumente baixa. A maioria das técnicas de bypass de ABE existentes exige privilégios de nível SYSTEM ou injeta código diretamente no navegador — ações que as ferramentas de segurança podem capturar mais facilmente. O método mais recente do VoidStealer evita ambos, confiando em APIs de depuração do Windows padrão que atraem muito menos atenção em ambientes típicos.
Impacto e alcance
O VoidStealer atualmente tem como alvo tanto o Google Chrome quanto o Microsoft Edge. Com a técnica agora disponível publicamente através do ElevationKatz, os pesquisadores esperam que outros infostealers sigam o exemplo em um futuro próximo. A evolução rápida do malware, avançando da versão 1.0 para a 2.1 em pouco mais de três meses, sugere desenvolvimento ativo e contínuo.
Medidas de mitigação recomendadas
Defensores devem tratar qualquer processo que se anexe autonomamente a um navegador como depurador como um sinal vermelho sério, já que aplicativos legítimos não se comportam dessa maneira. Monitorar leituras de memória de navegador de processos de terceiros, sinalizar navegadores iniciados com flags SW_HIDE ou headless e alertar sobre chamadas inesperadas de DebugActiveProcess direcionadas a navegadores são todas oportunidades fortes de detecção.
O que os CISOs devem fazer imediatamente
O indicador conhecido de comprometimento para o VoidStealer v2.0 é: f783fde5cf7930e4b3054393efadd3675b505cbef8e9d7ae58aa35b435adeea4. As organizações devem atualizar suas regras de detecção para incluir esse hash e monitorar comportamentos de depuração anômalos em processos de navegador.