VoidStealer: Malware stiehlt Passwörter und mehr direkt aus Browsern
Der neue Schadcode "VoidStealer" sorgt unter Sicherheitsexperten für Alarmstimmung: Die Malware kann gespeicherte Passwörter und Sitzungscookies aus dem Chrome-Browser auslesen und dabei eine zentrale Schutzfunktion Googles umgehen.
Ziel war es, sensible Daten wie Login-Kombinationen oder Cookies stärker zu schützen, indem der benötigte Verschlüsselungsschlüssel eng an den Browser gekoppelt wird. Ein separater Systemdienst mit erweiterten Rechten sollte verhindern, dass andere Programme auf diesen Schlüssel zugreifen können.
Nach Angaben der Sicherheitsforscher von Kaspersky verfolgt VoidStealer jedoch einen anderen Ansatz. Statt den Schlüssel direkt zu stehlen, wartet die Malware darauf, dass Chrome die Daten im normalen Betrieb selbst entschlüsselt. In genau diesem Moment liest der Schadcode den kurzfristig unverschlüsselt im Arbeitsspeicher vorhandenen Hauptschlüssel aus.
Technisch nutzt VoidStealer dafür eine Methode aus der Softwareentwicklung: Die Malware klinkt sich als Debugger in den laufenden Browserprozess ein. Anschließend setzt sie einen Breakpoint an der Stelle im Programmcode, an der Chrome die Daten entschlüsselt. Für den Bruchteil einer Sekunde wird der Prozess angehalten, der Schlüssel aus dem Speicher kopiert und danach der normale Ablauf fortgesetzt. Für Nutzer bleibt der Angriff unsichtbar.
Die Experten warnen zudem vor dem Vertriebsmodell hinter VoidStealer. Die Malware wird als Malware-as-a-Service angeboten. Kriminelle können das fertige Werkzeug also mieten, ohne selbst über tiefgehende technische Kenntnisse zu verfügen. Das senkt die Einstiegshürden für Cyberangriffe erheblich.
Nutzern raten Fachleute deshalb, Passwörter möglichst nicht direkt im Browser zu speichern, sondern auf separate Passwortmanager zu setzen. Außerdem sollten Programme ausschließlich aus vertrauenswürdigen Quellen heruntergeladen sowie Betriebssystem und Sicherheitssoftware stets aktuell gehalten werden.
Download Kaspersky Total Security - Umfassende Sicherheitssoftware
Siehe auch:
Tarnung als Debugger
Der Angriff funktioniert ohne erhöhte Systemrechte und richtet sich nicht nur gegen Chrome, sondern gegen nahezu alle Browser auf Chromium-Basis, heißt es in einem Bericht von CybersecurityNews. Er richtet sich gegen die Sicherheitsfunktion "App-Bound Encryption", die Google erst im Juli 2024 mit Chrome-Version 127 eingeführt hatte.Ziel war es, sensible Daten wie Login-Kombinationen oder Cookies stärker zu schützen, indem der benötigte Verschlüsselungsschlüssel eng an den Browser gekoppelt wird. Ein separater Systemdienst mit erweiterten Rechten sollte verhindern, dass andere Programme auf diesen Schlüssel zugreifen können.
Nach Angaben der Sicherheitsforscher von Kaspersky verfolgt VoidStealer jedoch einen anderen Ansatz. Statt den Schlüssel direkt zu stehlen, wartet die Malware darauf, dass Chrome die Daten im normalen Betrieb selbst entschlüsselt. In genau diesem Moment liest der Schadcode den kurzfristig unverschlüsselt im Arbeitsspeicher vorhandenen Hauptschlüssel aus.
Technisch nutzt VoidStealer dafür eine Methode aus der Softwareentwicklung: Die Malware klinkt sich als Debugger in den laufenden Browserprozess ein. Anschließend setzt sie einen Breakpoint an der Stelle im Programmcode, an der Chrome die Daten entschlüsselt. Für den Bruchteil einer Sekunde wird der Prozess angehalten, der Schlüssel aus dem Speicher kopiert und danach der normale Ablauf fortgesetzt. Für Nutzer bleibt der Angriff unsichtbar.
Sitzungscookies im Visier
Besonders gefährlich ist dabei der so ermöglichte Diebstahl von Sitzungscookies. Sie ermöglichen es Angreifern oft, sich direkt in Onlinekonten einzuloggen, ohne das eigentliche Passwort zu kennen. Dadurch drohen Kontoübernahmen, Identitätsdiebstahl und finanzielle Schäden.Die Experten warnen zudem vor dem Vertriebsmodell hinter VoidStealer. Die Malware wird als Malware-as-a-Service angeboten. Kriminelle können das fertige Werkzeug also mieten, ohne selbst über tiefgehende technische Kenntnisse zu verfügen. Das senkt die Einstiegshürden für Cyberangriffe erheblich.
Nutzern raten Fachleute deshalb, Passwörter möglichst nicht direkt im Browser zu speichern, sondern auf separate Passwortmanager zu setzen. Außerdem sollten Programme ausschließlich aus vertrauenswürdigen Quellen heruntergeladen sowie Betriebssystem und Sicherheitssoftware stets aktuell gehalten werden.
Download Kaspersky Total Security - Umfassende Sicherheitssoftware
Zusammenfassung
- VoidStealer: Neue Malware stiehlt Passwörter aus Chromium-Browsern
- Die Schadsoftware umgeht Googles Schutzfunktion App-Bound Encryption
- Statt den Schlüssel zu stehlen, liest die Malware ihn im entschlüsselten Zustand aus
- Der Angriff nutzt Debugging-Methoden und ist für Nutzer unsichtbar
- Besonders gefährlich: Gestohlene Sitzungscookies ermöglichen Kontoübernahmen
- Malware-as-a-Service senkt die Einstiegshürden für Cyberangriffe erheblich
- Fachleute empfehlen die Nutzung separater Passwortmanager statt Browser-Speicherung
Siehe auch:
Thema:
Neue Downloads
Videos zum Thema Sicherheit
-
WhatsApp: Wie man ungewollte Gruppen-Einladungen vermeidet
-
Super Bowl 2024: CrowdStrike sorgt im Wilden Westen für Sicherheit
-
Super Bowl 2023: CrowdStrike zeigt, wie man echte Trojaner abwehrt
-
DNS über HTTPS: So aktiviert man die Verschlüsselung im Firefox
-
Netflix zeigt Doku über John McAfees irre Flucht und wildes Leben
Aus dem Sicherheits-Forum
Kaspersky Lab Plus im Preisvergleich
IT-Hardpulse 
DownloadExperte 
Future-X.de 
We Office You 
Softperten Weiterführende Links
Beliebt im Preisvergleich
- Internet Security:
Neue Nachrichten
- Xbox-Sparte könnte zum Verkauf stehen: Microsoft soll Optionen prüfen
- Nur für 2 Tage: Tolle Weekend-Deals bei Media Markt und Saturn
- Windows 11: Microsoft spendiert Onboard-Apps große Funktionsupdates
- NASA: Astronauten für Artemis-III-Mission stehen fest, sorgen für Eklat
- Volkswagen-Konzernumbau: VW meldet "Erfolge" durch Stellenabbau
- In nur 24 Stunden: Anthropic Mythos gehackt - Zugriff global gesperrt
- WUSA-Bug in Windows 11: Microsoft liefert nach einem Jahr ein Update
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon