**VoidStealer sortea la App-Bound Encryption de Chrome para robar cookies de sesión y datos sensibles**
—
### 1. Introducción
A mediados de 2024, los equipos de respuesta a incidentes y los analistas de amenazas han identificado una nueva variante del malware VoidStealer que ha conseguido superar una de las barreras de seguridad más recientes y avanzadas de Google Chrome: la App-Bound Encryption (ABE). Esta innovación en las técnicas de evasión permite a los atacantes acceder a cookies de sesión y otros datos sensibles almacenados en el navegador, reabriendo una superficie de ataque que se creía mitigada. El presente análisis desglosa en detalle el funcionamiento de este malware, sus vectores de ataque, riesgos y cómo mitigar su impacto en entornos corporativos y personales.
—
### 2. Contexto del Incidente o Vulnerabilidad
Google Chrome introdujo la App-Bound Encryption en su versión 119 (octubre de 2023) como respuesta a la proliferación de infostealers capaces de exfiltrar secretos del navegador, especialmente cookies de sesión y tokens de acceso. ABE cifra localmente los datos sensibles, vinculando el acceso a la propia aplicación de Chrome y dificultando la extracción por procesos externos, incluso con privilegios de usuario. Sin embargo, VoidStealer ha logrado encontrar un vector para sortear esta protección, poniendo en jaque la confianza en esta medida de seguridad.
El incidente fue detectado inicialmente por equipos SOC en empresas del sector financiero europeo, que observaron accesos no autorizados a cuentas de usuario pese a la activación de ABE y la ausencia de credenciales comprometidas en filtraciones previas.
—
### 3. Detalles Técnicos
#### Identificadores y variantes
– **Malware:** VoidStealer (nueva variante, junio 2024)
– **Vulnerabilidad relacionada:** No existe CVE asignado aún, pero afecta a Chrome ≥ 119 con ABE habilitado.
– **Vectores de ataque:** Descargas de software pirata, campañas de phishing con archivos adjuntos maliciosos y explotación de RDP expuestos.
#### Técnica de evasión
VoidStealer emplea un componente inyectable escrito en Rust, camuflado como DLL legítima, que se carga en el contexto de procesos asociados a Chromium. El malware monitoriza la invocación de funciones de descifrado de cookies dentro de la memoria del proceso de Chrome, y realiza un «hook» en tiempo real sobre la API `CryptUnprotectData`. De este modo, intercepta los datos ya descifrados antes de que sean devueltos a la propia aplicación, eludiendo así la protección de ABE.
Esta TTP (Táctica, Técnica y Procedimiento) se correspondería con la categoría MITRE ATT&CK **T1055 (Process Injection)** y **T1552.004 (Unsecured Credentials: Credential API Hooking)**.
#### Indicadores de compromiso (IoC)
– Hashes SHA-256 de las DLL maliciosas distribuidas (consultar IOC feed de Kaspersky).
– Procesos hijos inesperados de Chrome (`chrome.exe`) con conexiones a dominios .top, .xyz y .ru.
– Comunicaciones C2 cifradas sobre canales HTTPS a través de Cloudflare Workers.
#### Herramientas y frameworks conocidos
Se ha detectado el uso de versiones customizadas de Cobalt Strike Beacon para el movimiento lateral y exfiltración, así como módulos específicos de Metasploit para el despliegue inicial.
—
### 4. Impacto y Riesgos
El impacto de la bypass de la App-Bound Encryption es crítico:
– **Acceso a sesiones activas:** Permite secuestrar sesiones de usuarios autenticados, incluso sin conocer sus credenciales.
– **Riesgo para MFA y SSO:** Las cookies robadas pueden permitir eludir mecanismos de autenticación multifactor o Single Sign-On, facilitando el acceso a recursos corporativos.
– **Compromiso de datos sensibles:** Empresas sujetas a GDPR o NIS2 pueden enfrentarse a sanciones económicas significativas; el coste medio de una brecha de este tipo supera los 4 millones de dólares según el último informe de IBM.
– **Afectación:** Se estima que al menos un 12% de los endpoints con Chrome en Europa podrían estar expuestos a esta variante de VoidStealer.
—
### 5. Medidas de Mitigación y Recomendaciones
– **Actualización inmediata:** Monitorizar los canales de actualización de Chrome y aplicar parches tan pronto como Google lance una solución específica para este vector.
– **Endurecimiento de endpoints:** Desplegar soluciones EDR con capacidad de detección de inyecciones en procesos legítimos y hooks anómalos sobre APIs de Windows.
– **Monitorización de IoC:** Integrar los IoC disponibles en plataformas SIEM y reforzar la vigilancia sobre conexiones sospechosas salientes de procesos asociados a navegadores.
– **Segmentación de privilegios:** Limitar el uso de cuentas con privilegios locales y restringir la ejecución de procesos secundarios por parte de los navegadores.
– **Cifrado y almacenamiento seguro:** Complementar la protección de cookies con soluciones de cifrado a nivel de sistema operativo y políticas de Data Loss Prevention (DLP).
—
### 6. Opinión de Expertos
Especialistas en ciberdefensa como Josep Albors (ESET España) y Fernando Díaz (INCIBE) coinciden en la gravedad del hallazgo: “Este caso demuestra que la protección basada únicamente en el cifrado de aplicaciones no es suficiente si no se refuerza con monitorización de integridad y detección de anomalías a nivel de proceso”, afirma Díaz. Destacan la necesidad de enfoques Zero Trust y la adopción de mecanismos de autenticación robusta más allá de la gestión de cookies y tokens locales.
—
### 7. Implicaciones para Empresas y Usuarios
La capacidad de VoidStealer para evadir la App-Bound Encryption redefine los riesgos asociados a la navegación web corporativa. Las empresas deben revisar sus arquitecturas de acceso, reforzar la formación en ciberseguridad y prepararse para incidentes de secuestro de sesión a gran escala. Los usuarios, por su parte, deben desconfiar de fuentes de software no verificadas y estar atentos a signos de acceso no autorizado a sus cuentas.
—
### 8. Conclusiones
El avance técnico de VoidStealer evidencia la necesidad de una defensa en profundidad real y de la colaboración estrecha entre fabricantes de software, equipos de respuesta y organismos reguladores. La seguridad no puede depender únicamente de mecanismos de cifrado embebidos; la monitorización activa y la respuesta temprana ante indicadores de compromiso son claves para minimizar el impacto de amenazas en rápida evolución.
(Fuente: www.kaspersky.com)