Um vírus chamado VoidStealer é capaz de driblar a Criptografia Vinculada ao Aplicativo (ABE) do Chrome. O malware ainda é capaz de extrair a chave mestra para descriptografar dados confidenciais armazenados no navegador.O método usado pelo malware especializado em roubar informações é mais discreto. Isso porque ele se baseia em pontos de interrupção de hardware para extrair a “v20_master_key”, usada tanto para criptografia quanto para descriptografia. Ele faz isso diretamente da memória do navegador, sem exigir escalonamento de privilégios ou injeção de código.O que torna esse caso diferenteA Gen Digital, empresa controladora das marcas Norton, Avast, AVG e Avira, afirma que este é o primeiro caso de um infostealer observado em ambiente real a utilizar tal mecanismo.O Google estreou o ABE no Chrome 127, lançado em junho de 2024. O objetivo era que ele agisse como um novo mecanismo de proteção para cookies e outros dados confidenciais do navegador. Ele garante que a chave mestra permaneça criptografada no disco e não seja recuperada por meio de acesso normal no nível do usuário.A descriptografia da chave requer o Google Chrome Elevation Service, que é executado como SYSTEM, para validar o processo solicitante.O VoidStealer está sendo anunciado em fóruns cibercriminosos. Nas postagens, os criminosos colocam detalhes sobre o funcionamento do malware e tudo que ele é capaz de fazer. Imagem: Gen Digital.Por que o ABE existia e por que não bastouNo entanto, esse sistema já foi contornado por várias famílias de infostealers e até mesmo demonstrado em ferramentas de código aberto. O Google já corrigiu e melhorou o recurso para bloquear esses contornos. No entanto, de acordo com relatos, novas versões de malware continuaram a ter sucesso usando outros métodos.De acordo com a Gen Digital, o VoidStealer é o primeiro infostealer observado em ambiente real a adotar uma nova técnica de contorno da criptografia vinculada a aplicativos (ABE) baseada em depurador. O VoidStealer é uma plataforma de malware como serviço (MaaS). Ele está sendo anunciado em fóruns da dark web desde pelo menos meados de dezembro de 2025. O malware introduziu o novo mecanismo de contorno da ABE na versão 2.0.Postagens nosfóruns incluíam updates de funcionalidades adicionadas ao malware. Imagem: Gen Digital.Roubando a chave mestraO malware inicia uma instância oculta do Chrome em modo suspenso e se anexa a ela como debugger. Quando a chrome.dll é carregada, ele localiza uma instrução específica dentro do arquivo e define um hardware breakpoint nesse endereço.Esquema de criptografia vinculada ao aplicativo (com base no diagrama oficial fornecido pelo Google). Imagem: Gen Digital.Um hardware breakpoint é um mecanismo que pausa a execução do processo num momento exato sem modificar o código. Quando o Chrome tenta descriptografar os dados na inicialização, o breakpoint é acionado e o VoidStealer lê o registrador que aponta para a chave, extraindo-a com ReadProcessMemory.De onde veio a técnicaOs pesquisadores apontam que o VoidStealer provavelmente se baseou no ElevationKatz, projeto open source que demonstrava essa vulnerabilidade no Chrome há mais de um ano. A implementação tem diferenças, mas a lógica central é a mesma.O VoidStealer é vendido como Malware-as-a-Service (MaaS) em fóruns da dark web desde pelo menos dezembro de 2025. A técnica de contorno do ABE chegou na versão 2.0 do malware. O que era prova de conceito agora está em produção.Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.