A evolução dos infostealers atingiu um novo patamar. O surgimento do VoidStealer, identificado pela Gen Digital, expõe uma fragilidade crítica no modelo de proteção de dados do Google Chrome, mesmo após a introdução de mecanismos avançados como a Application Bound Encryption (ABE).
Mais do que uma nova família de malware, este caso representa uma mudança estrutural na forma como dados sensíveis estão sendo comprometidos em endpoints modernos.
O que é o VoidStealer e por que ele é diferente
O VoidStealer é um malware do tipo infostealer operando no modelo Malware-as-a-Service (MaaS), comercializado em fóruns cibercriminosos desde o final de 2025.
Sua principal inovação não está apenas na capacidade de roubo de dados, algo comum nesse tipo de ameaça, mas na forma como ele contorna proteções modernas sem recorrer a técnicas tradicionais como:
-
Escalonamento de privilégios
-
Injeção de código
-
Exploração de vulnerabilidades conhecidas
Em vez disso, ele explora um ponto muito mais sofisticado: o momento em que a criptografia deixa de proteger os dados.
Como funciona a proteção ABE do Chrome
A Application Bound Encryption (ABE), introduzida no Chrome 127 em 2024, foi projetada para proteger dados sensíveis como:
-
Cookies de sessão
-
Credenciais armazenadas
-
Tokens de autenticação
Seu objetivo principal é garantir que:
-
A chave mestra permaneça criptografada em disco
-
Apenas processos autorizados consigam acessá-la
-
A descriptografia dependa de um serviço privilegiado (SYSTEM)
Na teoria, isso impede que um atacante extraia dados sensíveis diretamente do sistema de arquivos.
Na prática, o VoidStealer demonstra uma limitação fundamental.
O ataque: explorando a memória em tempo de execução
O diferencial técnico do VoidStealer está no uso de uma abordagem baseada em debugging legítimo.
Etapas do ataque:
-
O malware inicia uma instância do Chrome em modo suspenso
-
Anexa-se ao processo como debugger
-
Identifica um ponto crítico na chrome.dll
-
Define um hardware breakpoint nesse ponto
-
Aguarda o momento em que o Chrome inicia a descriptografia
-
Intercepta a execução e lê diretamente da memória:
-
ponteiros
-
registradores
-
a v20_master_key
-
-
Extrai a chave usando ReadProcessMemory
Por que essa técnica é tão perigosa
O uso de hardware breakpoints muda completamente o cenário de detecção e defesa.
1. Não exige privilégios elevados
O ataque ocorre no contexto do próprio usuário, eliminando a necessidade de:
-
bypass de UAC
-
exploração de kernel
-
execução como SYSTEM
2. Evita técnicas clássicas monitoradas
Diferente de outros malwares, o VoidStealer não precisa injetar código, o que reduz significativamente sua visibilidade em soluções de segurança.
3. Alta discrição operacional
Hardware breakpoints:
-
Não modificam o código executável
-
Não deixam artefatos tradicionais
-
São difíceis de detectar sem telemetria avançada
O verdadeiro problema: proteção em repouso vs. proteção em uso
Este caso evidencia um problema estrutural na segurança moderna:
A maioria dos controles protege os dados em repouso, mas não durante o uso.
O ABE cumpre seu papel ao proteger a chave no disco.Mas no momento em que o navegador precisa utilizá-la:
➡️ ela necessariamente precisa estar descriptografada na memória
E é exatamente nesse ponto que o atacante atua.
Da prova de conceito ao crime organizado
A técnica utilizada pelo VoidStealer não é totalmente nova.
Pesquisadores apontam forte similaridade com o projeto open source ElevationKatz, que já demonstrava esse tipo de exploração há mais de um ano.
O que muda agora é o contexto:
-
Antes: prova de conceito acadêmica
-
Agora: exploração ativa em escala
Esse movimento segue um padrão recorrente na cibersegurança:
Pesquisa → PoC → operacionalização → commoditização
Impacto para empresas: por que isso importa agora
Para organizações, especialmente aquelas que dependem de navegadores para operações críticas, o impacto é direto:
Dados comprometidos incluem:
-
Sessões autenticadas
-
Credenciais armazenadas
-
Tokens de acesso a sistemas corporativos
-
Dados de aplicações SaaS
Por que controles tradicionais não são suficientes
Mesmo ambientes com maturidade em segurança podem falhar diante desse tipo de técnica.
Controles que NÃO mitigam esse ataque isoladamente:
-
Criptografia de dados locais
-
Controle de acesso a arquivos
-
Hardening tradicional de endpoints
O que realmente ajuda a reduzir o risco
Diante desse cenário, a defesa precisa evoluir para além do modelo tradicional.
Controles mais eficazes incluem:
🔍 Monitoramento comportamental avançado
-
Detecção de debugger attach
-
Uso anômalo de ReadProcessMemory
-
Análise de execução em tempo real
🔐 Redução da dependência do navegador
-
Evitar armazenamento de credenciais
-
Uso de autenticação forte (MFA, FIDO2)
-
Tokens de curta duração
🧱 Arquiteturas Zero Trust
-
Validação contínua de sessão
-
Binding de dispositivo
-
Limitação de privilégios
☁️ Isolamento de navegação
-
Remote Browser Isolation (RBI)
-
Ambientes segregados para acesso a sistemas críticos
Insight estratégico: o endpoint continua sendo o elo crítico
O VoidStealer reforça um ponto essencial para CISOs e líderes de segurança:
Se o endpoint estiver comprometido, a criptografia deixa de ser uma barreira efetiva.
Ou de forma mais direta:
O atacante não precisa quebrar a criptografia, apenas esperar o sistema usá-la.
O VoidStealer não representa apenas uma nova ameaça, mas uma evolução no modelo de ataque contra dados sensíveis.
Ele demonstra que:
-
Proteções modernas podem ser contornadas sem exploração direta
-
Técnicas legítimas podem ser abusadas para fins maliciosos
-
O foco da defesa precisa migrar para o comportamento em tempo real
Empresas que continuam baseando sua estratégia apenas em proteção de dados em repouso estão expostas a uma nova geração de ataques, mais silenciosos, mais sofisticados e significativamente mais difíceis de detectar.
