文章总结： VoidStealer恶意软件利用调试器和硬件断点绕过Chrome应用绑定加密，无注入从内存提取主密钥。其通过挂起进程、设硬件断点拦截解密指令，在密钥明文瞬间读取寄存器获取密钥，解密Cookie和凭证。这是野外首次发现利用调试技术突破Chrome防线，显示恶意软件向底层隐蔽演进。 综合评分： 84 文章分类： 恶意软件,威胁情报,逆向分析,终端安全

新型木马绕过 Chrome 加密，无注入窃取浏览器主密钥

看雪学苑 看雪学苑

看雪学苑

2026年3月23日 18:00 上海

一款名为VoidStealer的信息窃取恶意软件，近期被曝出采用了全新的手法，绕过了谷歌Chrome浏览器去年引入的“应用绑定加密”（ABE）保护机制。这种新方法不依赖传统的代码注入，而是通过调试器和硬件断点，直接从浏览器内存中“钓”出用于解密敏感数据的主密钥。

据安全公司Gen Digital（诺顿、Avast等品牌的母公司）的研究人员披露，VoidStealer的这一新功能在其2.0版本中推出。这是安全人员首次在真实攻击中发现，有窃密木马采用基于调试器的技术来突破ABE防线。

谷歌在2024年6月发布的Chrome 127版本中加入了ABE机制，旨在将浏览器存储的cookies等敏感数据的主密钥始终保持在加密状态，防止普通用户权限下的恶意程序直接读取。然而，这项防御措施从推出之初就面临着挑战，此前已有多种窃密软件通过不同方式找到了绕过路径。

VoidStealer的新版绕过手法显得颇为巧妙。它利用了Chrome在启动时，为了解密自身存储的敏感数据，主密钥会短暂以明文形式存在于内存中的这一时机。

具体攻击流程如下：

1.  静默启动：恶意软件创建一个被挂起且隐藏的浏览器进程，并让自己成为该进程的调试器。

2.  精准定位：当目标浏览器加载其核心DLL文件（如chrome.dll）后，VoidStealer会在其中搜索特定的代码片段，并找到一个关键指令（LEA）的地址，将其设为硬件断点。

3.  断点截获：恶意软件在所有现有和新创建的浏览器线程上设置好该断点，然后恢复浏览器运行。当浏览器启动，并执行到解密敏感数据的代码段时，硬件断点被触发。

4.  提取密钥：在断点触发的那一刻，恶意软件通过调试接口读取CPU寄存器中的值，该寄存器正指向内存中的明文主密钥（即v20\_master\_key）。随后，它通过ReadProcessMemory函数将密钥完整提取出来。

一旦掌握了这个主密钥，攻击者就能解密Chrome存储的所有敏感信息，包括登录凭证和Cookie。

研究人员分析认为，VoidStealer很可能借鉴了一个名为“ElevationKatz”的开源项目。该项目作为ChromeKatz工具集的一部分，一年多前就公开演示了利用Chrome设计弱点的思路。虽然VoidStealer的代码实现与该项目存在差异，但核心原理基本一致。

目前，谷歌尚未就这一新型绕过手法发表公开评论。这一事件再次表明，随着浏览器安全机制的不断升级，恶意软件的对抗手段也在向更加底层和隐蔽的方向发展。

资讯来源：BleepingComputer、Gen Digital 安全研究报告

﹀

﹀

﹀

球分享

球点赞

球在看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：看雪学苑 看雪学苑 看雪学苑《新型木马绕过 Chrome 加密，无注入窃取浏览器主密钥》