VoidStealer利用硬件断点绕过Chrome加密保护
发布时间 2026-03-241. VoidStealer利用硬件断点绕过Chrome加密保护
3月22日,名为VoidStealer的信息窃取恶意软件采用新方法绕过Chrome的应用程序绑定加密(ABE)保护,提取主密钥以解密浏览器中存储的敏感数据。Norton、Avast、AVG和Avira母公司GenDigital的报告指出,这是在野外观察到的首个使用此类机制的信息窃取恶意软件。谷歌于2024年6月发布的Chrome127中引入ABE作为cookies和其他敏感浏览器数据的新保护机制,确保主密钥在磁盘上保持加密状态,无法通过普通用户级访问恢复。VoidStealer是自2025年12月中旬起在暗网论坛宣传的恶意软件即服务(MaaS)平台,2.0版本引入了新的ABE绕过机制。该恶意软件提取主密钥的技巧是在解密操作期间v20_master_key短暂以明文状态存在于内存时。具体而言,VoidStealer启动挂起和隐藏的浏览器进程,将其作为调试器附加,等待目标浏览器DLL加载。加载后,扫描DLL查找特定字符串和引用它的LEA指令,使用该指令地址作为硬件断点目标。然后在现有和新创建的浏览器线程上设置断点,等待在浏览器启动解密保护数据期间触发,读取保存明文v20_master_key指针的寄存器并用ReadProcessMemory提取。
https://www.bleepingcomputer.com/news/security/voidstealer-malware-steals-chrome-master-key-via-debugger-trick/
2. FBI警告俄罗斯间谍钓鱼攻击针对Signal账户
3月22日,美国联邦调查局(FBI)近日警告,与俄罗斯情报机构相关的威胁行为者正在运行钓鱼活动,劫持WhatsApp和Signal等消息应用的高价值账户。FBI局长KashPatel在X平台上表示,该活动针对具有高情报价值的个人,包括现任和前任美国政府官员、军事人员、政治人物和记者。攻击者不破解应用加密,而是使用钓鱼手段获取账户访问权限。这些攻击已攻陷全球数千个账户。一旦进入,攻击者可读取消息、访问联系人、冒充受害者并利用可信身份发起进一步钓鱼攻击。攻击者特别针对Signal,但在其他平台使用类似策略。俄罗斯相关行为者冒充消息应用支持账户,发送针对性钓鱼消息诱骗目标。他们诱导用户点击链接或分享验证码或PIN。当受害者配合时,攻击者通过链接自己的设备或完全接管账户获得访问权限。随着活动演变,他们还可能部署恶意软件进一步攻陷受害者。荷兰情报机构(MIVD和AIVD)近日也警告了俄罗斯相关威胁行为者针对Signal和WhatsApp账户的全球活动,该行动针对政府官员、公务员和军事人员。
https://securityaffairs.com/189808/intelligence/russia-linked-actors-target-whatsapp-and-signal-in-phishing-campaign.html
3. FBI警告伊朗黑客利用Telegram发动恶意软件攻击
3月23日,美国联邦调查局(FBI)近日警告网络防御者,与伊朗情报和安全部(MOIS)相关的黑客正在利用Telegram进行恶意软件攻击。FBI在周五发布的紧急警报中表示,Telegram正被针对批评伊朗政府的记者、伊朗异见人士和全球其他反对团体的恶意软件用作命令控制(C2)基础设施。FBI表示:"由于中东地缘政治局势升级和当前冲突,FBI正在强调伊朗情报机构的网络活动。"该恶意软件导致针对目标方的情报收集、数据泄露和声誉损害。FBI发布此信息旨在提高对伊朗恶意网络活动的认识,并提供缓解策略以降低被攻陷风险。FBI将这些攻击与伊朗相关的亲巴勒斯坦Handala黑客组织以及与伊朗伊斯兰革命卫队(IRGC)相关的伊朗国家支持组织HomelandJustice联系起来。在这些攻击中,伊朗黑客使用社会工程手段感染目标设备的Windows恶意软件,使其能够从受攻陷计算机外泄截图或文件。
https://www.bleepingcomputer.com/news/security/fbi-warns-of-handala-hackers-using-telegram-in-malware-attacks/
4. Trio-Tech遭Gunra勒索软件攻击数据被窃
3月23日,加州半导体解决方案提供商Trio-TechInternational近日向美国证券交易委员会(SEC)提交文件,确认其子公司于3月11日遭受网络攻击,导致网络内某些文件被加密。攻击发生后,子公司立即激活响应协议,主动将系统下线以控制事件影响。子公司在第三方网络安全专业人员协助下启动攻击调查,并通知执法部门。公司表示正在采取措施控制事件、恢复受影响系统并加强整个网络环境的监控。子公司正在按照适用法律要求通知受影响方。公司表示对事件的调查正在进行中,尚未确定潜在受影响数据的完整范围。子公司正与其网络保险提供商密切合作,支持调查、补救和潜在索赔流程。公司未分享对攻击负责的威胁行为者详情,但Gunra勒索软件组织已将Trio-Tech添加到其基于Tor的数据泄露网站。
https://www.securityweek.com/chip-services-firm-trio-tech-says-subsidiary-hit-by-ransomware/
5. Kaplan数据泄露影响23万用户敏感信息
3月24日,教育服务公司Kaplan近日告知州监管机构,2025年秋季发生的网络安全事件导致至少23万人的社会安全号码和驾驶执照号码泄露。这家总部位于佛罗里达的公司向至少七个州提交了泄露通知信,但未回应关于受影响总人数的评论请求。发送给受害者的信件表示,发现事件后已联系执法部门,调查显示黑客在10月30日至11月18日期间能够访问Kaplan服务器。Kaplan官员表示黑客"获取了某些文件",其中包含姓名、社会安全号码和驾驶执照号码。仅部分州公布数据泄露影响人数,Kaplan披露的数字总计230,941名受影响人员。公司表示缅因州19,075人、南卡罗来纳州约26,600人、德克萨斯州173,676人、新罕布什尔州超过11,600人受影响。目前尚无黑客组织声称对此事件负责。此次泄露的敏感信息包括社会安全号码和驾驶执照号码,可被用于身份盗窃和金融欺诈。
https://therecord.media/kaplan-data-breach-hack-notification
6. Crunchyroll遭攻击680万用户数据可能泄露
3月23日,知名动漫流媒体平台Crunchyroll近日正在调查一起安全事件,此前黑客声称窃取了约680万人的个人信息。威胁行为者于3月12日联系媒体,声称在获取Crunchyroll支持代理的Okta单点登录账户后攻陷了该公司。该支持代理据称是TelusInternational业务流程外包(BPO)公司的员工,可访问Crunchyroll支持工单。威胁行为者声称使用恶意软件感染代理计算机并获取凭据。这些凭据可访问各种Crunchyroll应用,包括Zendesk、Wizer、MaestroQA、Mixpanel、GoogleWorkspaceMail、Jiro服务管理和Slack。攻击者表示从Crunchyroll的Zendesk实例下载了800万条支持工单记录,其中包含约680万个唯一电子邮件地址。支持工单样本包含多种信息,包括Crunchyroll用户名、登录名、电子邮件地址、IP地址、大致地理位置和工单内容。攻击者表示其访问权限在24小时后被撤销,使其能够窃取截至2025年中期的数据。黑客声称向Crunchyroll发送了勒索邮件,要求500万美元以换取不公开泄露数据,但未收到公司回应。
https://www.bleepingcomputer.com/news/security/crunchyroll-probes-breach-after-hacker-claims-to-steal-68m-users-data/
京公网安备11010802024551号