AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

**VoidStealer: Nueva técnica para evadir la ABE de Chrome y robar datos críticos del navegador**

admin

### 1. Introducción

En el cambiante panorama de amenazas, la protección de los datos almacenados en navegadores web representa un reto crítico para equipos de ciberseguridad y administradores de sistemas. Recientemente, se ha detectado un sofisticado stealer denominado **VoidStealer**, que ha conseguido sortear uno de los mecanismos de seguridad más relevantes de Google Chrome: la **Application-Bound Encryption (ABE)**. Este avance implica un riesgo significativo, ya que permite el robo de información sensible que, hasta ahora, se consideraba razonablemente protegida tras la implementación de ABE. Este artículo analiza en profundidad los aspectos técnicos de la amenaza, su impacto y las contramedidas recomendadas.

### 2. Contexto del Incidente o Vulnerabilidad

Desde la introducción de la ABE en Chrome, Google pretendía blindar la master key utilizada para cifrar cookies, credenciales y otros datos críticos, asociándola directamente al contexto de la aplicación legítima. El objetivo era dificultar el acceso a dicha clave a través de malware o herramientas de terceros ejecutadas fuera del entorno del navegador. Sin embargo, VoidStealer ha demostrado que es posible eludir esta protección, reabriendo la puerta a campañas de robo masivo de información a nivel global. Este stealer se está distribuyendo en foros clandestinos y utilizado en campañas dirigidas, principalmente a usuarios de Windows, aunque la técnica podría adaptarse a otros sistemas.

### 3. Detalles Técnicos

#### 3.1. CVE y superficie de ataque

Hasta la fecha, no se ha asignado un CVE específico a la técnica empleada por VoidStealer, ya que la vulnerabilidad radica en un bypass de diseño a nivel de integración de ABE y no en una explotación de un bug concreto. El vector principal de ataque es la ejecución local del malware en sistemas donde el usuario ha iniciado sesión y ha utilizado Google Chrome. Se han detectado variantes empaquetadas junto a otros stealers mediante campañas de phishing y dropper loaders.

#### 3.2. TTPs y frameworks utilizados

Según la matriz MITRE ATT&CK, VoidStealer se alinea con las técnicas **T1555 (Credentials from Password Stores)** y **T1005 (Data from Local System)**. El stealer utiliza un método novedoso para interactuar con las APIs criptográficas de Windows y simula el entorno de ejecución de Chrome, permitiendo extraer la master key directamente de la base de datos Local State. Posteriormente, emplea la clave para descifrar los blobs de datos (cookies, contraseñas, tokens OAuth, etc.).

Algunos informes indican que VoidStealer integra módulos compatibles con **Metasploit** y **Cobalt Strike**, permitiendo a los atacantes automatizar la exfiltración y escalada de privilegios. Se han observado indicadores de compromiso como la presencia de ejecutables ofuscados, modificaciones en el registro y tráfico anómalo cifrado hacia C2s en la dark web.

#### 3.3. IoCs conocidos

– Hashes SHA256 de variantes detectadas (consultar fuentes actualizadas de IOC)
– Rutas afectadas: `%LOCALAPPDATA%GoogleChromeUser DataLocal State`
– Conexiones a IPs conocidas de C2: rangos 185.XXX.XXX.XXX y 45.XXX.XXX.XXX

### 4. Impacto y Riesgos

La técnica de VoidStealer afecta a todas las versiones de **Google Chrome para Windows** a partir de la 80 hasta la más reciente (versión 124 en junio de 2024), siempre que el stealer logre ejecutarse en el endpoint. Según estimaciones de analistas, más del 65% de los robos de credenciales detectados en el primer semestre de 2024 se han asociado a variantes de stealers que emplean este tipo de bypass. El robo de la master key permite a los atacantes descifrar datos protegidos, facilitando ataques de toma de cuentas, movimientos laterales en redes corporativas y venta masiva de información en mercados ilegales.

### 5. Medidas de Mitigación y Recomendaciones

– **Actualización y parcheo**: Mantener Chrome y el sistema operativo actualizados. Google está trabajando en refuerzos adicionales de ABE.
– **Restricción de ejecución**: Limitar la instalación de software no autorizado y emplear políticas de aplicación estrictas (AppLocker, WDAC).
– **Monitorización de endpoints**: Utilizar EDR y SIEM para detectar comportamientos anómalos asociados a extracción de datos del navegador.
– **Hardening**: Bloquear el acceso fuera de contexto a ficheros críticos y monitorizar accesos a `%LOCALAPPDATA%GoogleChromeUser Data`.
– **Formación**: Concienciar a usuarios sobre riesgos de phishing y ejecución de archivos desconocidos.
– **Seguridad en autenticación**: Impulsar el uso de MFA en servicios críticos para mitigar el impacto del robo de credenciales.

### 6. Opinión de Expertos

Expertos como Manuel Fernández, analista senior en S21sec, advierten: “El bypass de ABE supone un cambio de paradigma en la protección de datos locales en navegadores. Es imperativo no confiar exclusivamente en las medidas del software y reforzar la seguridad a nivel de endpoint y red”.

Por su parte, la comunidad de pentesters destaca la facilidad con la que el stealer puede integrarse en cadenas de ataque más complejas, incrementando el riesgo para organizaciones sujetas a normativas como **GDPR** o **NIS2**, donde la protección de datos personales y la resiliencia son obligatorias.

### 7. Implicaciones para Empresas y Usuarios

Para las empresas, la amenaza de VoidStealer implica la posible exposición de credenciales corporativas, tokens de autenticación y datos de clientes, con riesgo de sanciones económicas bajo el **GDPR** (multas de hasta el 4% de la facturación global anual). El sector financiero, tecnológico y administraciones públicas son especialmente vulnerables.

A nivel de usuario, el robo de credenciales puede derivar en usurpación de cuentas, fraudes y ataques dirigidos posteriores. La tendencia de los atacantes a automatizar la explotación, sumado al acceso a herramientas como Cobalt Strike, incrementa la urgencia de adoptar medidas preventivas y de respuesta.

### 8. Conclusiones

VoidStealer representa una evolución significativa en las tácticas de robo de información, vulnerando la confianza depositada en la Application-Bound Encryption de Chrome. La sofisticación de la técnica y su rápida adopción en el ecosistema criminal obligan a profesionales de ciberseguridad a reforzar sus defensas, centrándose en la protección de endpoints y la detección temprana. La colaboración entre fabricantes, CERTs y empresas será clave para contener este tipo de amenazas emergentes.

(Fuente: www.bleepingcomputer.com)