30 июля 2024 Google выкатила в стабильный Chrome 127 механизм, которого инфостилеры ждали как зубной боли, – App-Bound Encryption. Идея простая и злая: раньше ключ, которым браузер шифрует куки и пароли, лежал в файле Local State, обёрнутый в обычный DPAPI, и любой процесс под вашей учёткой снимал его вызовом CryptUnprotectData. RedLine именно так и жил годами – прочитать Local State, расшифровать ключ, распарсить SQLite с логинами, профит. ABE привязала ключ к самому браузеру через службу с правами SYSTEM, и вся эта нехитрая механика умерла за одну ночь – причём не только в Chrome, а во всём стеке Chromium: Edge, Brave, Opera, Vivaldi.
А дальше началась гонка вооружений. Через два года на руках десяток семейств, которые обходят ABE, и вопрос уже не «можно ли», а «чья инженерия впереди». И вот тут – главный твист, ради которого стоит читать дальше: самый стелсовый обход ABE, что крутится сейчас в живой малвари, написан не хакерами. Он лежит в открытом репозитории на GitHub, а авторы громкого «первого в мире» стилера просто сделали git clone.
Эта статья доступна только подписчикам. Оформите подписку, чтобы получить доступ ко всем премиум статьям.
Автор: hacker@shifry.local