Selon Maldev Academy, « DumpChromeSecrets » est un projet composé d’un exécutable et d’une DLL qui vise l’extraction de données sensibles depuis des versions récentes de Google Chrome, notamment cookies, identifiants enregistrés, tokens, données d’autoremplissage, historique et favoris.

Le fonctionnement repose sur deux composants 🧰: un exécutable lance un Chrome headless, injecte la DLL via la technique « Early Bird APC injection », puis récupère les données extraites par un named pipe. La DLL, exécutée dans le contexte du processus Chrome, déchiffre la clé d’encryption liée à l’application (App‑Bound) via l’interface COM « IElevator » et procède à l’extraction/décryptage depuis les bases SQLite.

Contexte sécurité Chrome v127+ 🔐: Google a introduit l’App‑Bound Encryption liant les clés d’encryption des cookies à l’identité de l’application. La clé (« app_bound_encrypted_key »), stockée dans le fichier « Local State », peut être déchiffrée par le service d’élévation de Chrome au moyen de « IElevator ». Le projet contourne cette protection en s’injectant dans Chrome pour appeler « IElevator::DecryptData » avec le bon contexte applicatif. La documentation cite également des travaux de « luci4 » sur l’extraction de cookies et d’identifiants de Chrome.

Données visées 📦:

  • Clé App‑Bound (source: « Local State », chiffrement DPAPI + IElevator)
  • Cookies (base « Cookies », chiffrement AES‑256‑GCM v20)
  • Logins (base « Login Data », AES‑256‑GCM v20)
  • Tokens et Autofill (base « Web Data », tokens en AES‑256‑GCM v20, autofill non chiffré)
  • Historique (base « History », non chiffré)
  • Favoris (fichier « Bookmarks », non chiffré)

Le projet fournit aussi une aide d’utilisation (options de sortie JSON et export complet). L’article est une publication technique présentant un outil et ses capacités, avec crédits à des recherches sur l’interface IElevator et l’amalgamation SQLite.

TTPs observés:

  • Injection de processus: Early Bird APC injection
  • Abus d’interface COM: IElevator / IElevator::DecryptData
  • Exécution dans le contexte de Chrome (process hollowing/injection)
  • Exfiltration via named pipe
  • Accès/parse de bases SQLite et fichiers de profil Chrome
  • Déchiffrement DPAPI + App‑Bound, AES‑256‑GCM sur cookies/logins/tokens

🔗 Source originale : https://github.com/Maldev-Academy/DumpChromeSecrets