VoidStealer malware steals Chrome master key via debugger trick

1 minute de lecture

Mis à jour : March 22, 2026

VoidStealer : Contournement innovant du chiffrement Chrome via points d’arrêt matériels

Le malware VoidStealer (version 2.0) a introduit une méthode sophistiquée pour contourner le mécanisme Application-Bound Encryption (ABE) de Google Chrome, conçu pour protéger les clés de chiffrement des cookies et des données sensibles. Contrairement aux approches précédentes, cette technique ne nécessite ni élévation de privilèges ni injection de code malveillant.

Points clés :

Mécanisme d’attaque : Le malware utilise des points d’arrêt matériels (hardware breakpoints) via un débogueur pour intercepter la clé maîtresse (v20_master_key) au moment précis où elle est déchiffrée en mémoire lors du démarrage du navigateur.
Mode opératoire : VoidStealer lance un processus de navigateur masqué en mode suspendu, s’y attache en tant que débogueur, et définit un point d’arrêt sur une instruction spécifique dans chrome.dll ou msedge.dll. Lorsque le processus accède à la clé en clair, le malware extrait cette dernière via ReadProcessMemory.
Origine : La technique semble être une adaptation de l’outil open-source ElevationKatz (du projet ChromeKatz), rendant cette menace particulièrement accessible aux acteurs malveillants.
Statut : VoidStealer est commercialisé en tant que service (MaaS) sur les forums du dark web depuis décembre 2025.

Vulnérabilités :

Bien qu’aucune CVE spécifique ne soit associée à cette technique, elle exploite une faille conceptuelle dans la gestion de la mémoire : la présence temporaire de la clé maîtresse en clair lors des opérations de déchiffrement légitimes. L’ABE de Chrome, bien que renforcé, reste vulnérable à l’inspection mémoire par des processus disposant des mêmes droits utilisateur.

Recommandations :

Mise à jour constante : Maintenir Chrome et les navigateurs basés sur Chromium à jour, car Google déploie régulièrement des correctifs pour limiter l’efficacité des débogueurs et des outils d’extraction mémoire.
Sécurité des points de terminaison (EDR/XDR) : Déployer des solutions de sécurité capables de détecter les comportements suspects liés au débogage, tels que l’attachement anormal de processus à des navigateurs ou l’usage abusif de points d’arrêt matériels.
Hygiène de sécurité : Puisque cette méthode cible les données en mémoire, la limitation des privilèges administrateur et l’utilisation de solutions de protection contre les malwares (type antivirus/EDR) restent essentielles pour bloquer l’exécution initiale du malware VoidStealer.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

VoidStealer malware steals Chrome master key via debugger trick

VoidStealer : Contournement innovant du chiffrement Chrome via points d’arrêt matériels

Partager sur

Vous pourriez aimer

CVE-2026-20817 - Windows Error Reporting Service EoP

Analyse de la vulnérabilité CVE-2026-20817 dans le service Windows Error Reporting

Trivy vulnerability scanner breach pushed infostealer via GitHub Actions

Compromission de la chaîne d’approvisionnement : Attaque sur Trivy par TeamPCP

Trivy Supply Chain Attack Triggers Self-Spreading CanisterWorm Across 47 npm Packages

Propagation virale via CanisterWorm : Attaque de la supply chain npm

Organizational Politics & The Security Program

La politique organisationnelle au service du programme de cybersécurité