فيروس يدعى VoidStealer يهاجم حاليا جوجل كروم. وقد أشار باحثو Gen Digital إلى البرمجيات الخبيثة التي تهدف إلى سرقة المعلومات، أي برنامج خبيث متخصص في سرقة البيانات. يتم إتاحة هذه المنصة بشكل ضخم لمجرمي الإنترنت من خلال اشتراك “البرمجيات الخبيثة كخدمة”. ظهر الفيروس في منتديات الويب المظلم منذ ديسمبر 2025 على الأقل.
صمم VoidStealer بشكل أساسي لاسترجاع البيانات الحساسة المخزنة في المتصفحات، وخاصة Google Chrome وMicrosoft Edge، ويستهدف عنصرا محددا جدا: v20_master_key. هذا هو المفتاح الرئيسي للتشفير/فك التشفير الذي يستخدمه كروم لحماية ملفات تعريف الارتباط والبيانات الحساسة الأخرى من قبل كروم.
بمجرد استعادته من قبل القراصنة، يمكن استخدام المفتاح لانتحال شخصية المتصفح وفك تشفير جميع البيانات المحمية. هذا يمنح القراصنة إمكانية الوصول إلى جلسات نشطة لحساباتك، دون الحاجة لاستخدام بيانات الاعتماد أو رموز المصادقة متعددة العوامل. هذا هو المفتاح لجميع الحسابات المتصلة في كروم… وبالتالي جزء كبير من حياتك الرقمية.
حماية جوجل في طريق الفيروس
هناك آلية تسمح له بتجاوز آلية التشفير المرتبطة بتشفير التطبيقات (ABE) في كروم. هذه هي آلية الحماية التي تهدف جوجل إلى حماية ملفات تعريف الارتباط والبيانات الحساسة ضد البرمجيات الخبيثة. تم إطلاق الآلية في يونيو 2024، وهي مصممة فعليا لحماية v20_master_key كروم الشهيرة من الهجمات الإلكترونية.
تحديدا، يقوم ABE بتخزين وتشفير المفتاح في ملفات ملف كروم الشخصية. بحكم الواقع، المهاجم الذي يتمكن من استعادة المفتاح لا يستطيع استخدامه. لاستخدام المفتاح، يجب على كروم طلب إذن من خدمة محددة، وهي خدمة تصعيد الامتيازات. تتحقق هذه الخدمة من أن الطلب قادم من متصفح كروم الحقيقي. إذا كان هذا هو الحال، يقوم بفك تشفير المفتاح ونقله إلى المتصفح ليتمكن من قراءة ملفات تعريف الارتباط والبيانات المحمية. تهدف هذه الآلية إلى منع الفيروس من التنكر في هيئة كروم والحصول على المفتاح. عندما يحصل كروم على إذن لاستخدام المفتاح، ينتهي به الأمر لفترة وجيزة في ذاكرة المتصفح.
هنا يبدأ VoidStealer بالهجوم. يتجاوز VoidStealer آلية حماية جوجل بعدم مهاجمة التشفير على القرص، بل من خلال التفاعل في اللحظة الدقيقة التي يتحكم فيها كروم بالمفتاح في الذاكرة.
تبدأ البرمجيات الخبيثة بفتح نافذة غير مرئية على كروم. المستخدم لا يرى أي شيء يظهر على الشاشة. لذا لا يمكنه أن يدرك أن فيروسا يستعد للهجوم. من خلال التظاهر بأنه أداة تصحيح الأخطاء، وهي أداة يستخدمها المطورون لمراقبة البرنامج من الداخل، سيدمج الفيروس نفسه في عملية النافذة غير المرئية. البرمجيات الخبيثة “تضغط على المتصفح كمصحح أخطاء شرعي”، مما “يطمس الخط الفاصل بين النشاط المشروع والسلوك الخبيث”، ويجعل من الصعب على حلول الأمن أداء عملها. وهذا يسمح له بمراقبة ذاكرة المتصفح في الوقت الحقيقي. بمجرد أن يختبئ في الظلال، سيكون البرمجيات الخبيثة صبورا.
الفيروس سينتظر حتى يعيد تشغيل Chrome. المتصفح ملزم بتحميل ملفات تعريف الارتباط المحمية بواسطة ABE. لذلك يجبر على فك تشفير المفتاح الرئيسي في ذلك الوقت. بمجرد أن يحصل كروم على المفتاح، يكون نصا عاديا لفترة وجيزة في سجل المعالج. يعترض VoidStealer في تلك اللحظة. ثم يقوم بنسخ المفتاح من ذاكرة كروم إلى ذاكرته الخاصة، مما يسمح له بفك تشفير ملفات تعريف الارتباط والبيانات الأخرى المخزنة في المتصفح.
كما يشير الباحثون، هذه ليست أول برمجية خبيثة تجد طريقة لتجاوز آلية حماية المفتاح الرئيسي. خدعت عدة عائلات من البرمجيات الخبيثة التي تسرق المعلومات الأداة بعد تقديمها في كروم 127. من ناحية أخرى، يشرح فويتش كريجا، باحث في Gen Digital، “أول سارق معلومات يرى في ظروف حقيقية يستخدم هذه التقنية الجديدة للاحتيال”. الحيلة ربما تأتي من أدوات مفتوحة المصدر، مثل ChromeKatz/ElevationKatz.
على عكس “طرق التحايل التقليدية”، فإن التقنية “التي يستخدمها VoidStealer لا تتطلب زيادة الامتياز أو حقن الكود، مما يجعلها أكثر سرية”، كما توضح Gen Digital في تقريرها. هناك كل الأسباب للاعتقاد بأن “عائلات البرمجيات الخبيثة الأخرى ستتبع نفس المسار بسرعة”، كما يحذر الباحثون. لتجنب التعرض للاختراق من قبل VoidStealer، يوصي الخبراء بمراقبة جميع عمليات Chrome، خاصة العمليات الخلفية. يتم الإشارة إليها في مدير المهام الخاص بالمتصفح.
