🔍 Contexte

Publié le 24 mars 2026 par Gen Threat Labs (GenDigital), cet article présente une analyse technique approfondie de VoidStealer, un infostealer de type MaaS (Malware-as-a-Service) commercialisé depuis mi-décembre 2025 sur des forums darkweb, notamment HackForums.

🦠 Présentation de VoidStealer

VoidStealer est un infostealer MaaS dont le développement actif a produit 12 versions entre le 12 décembre 2025 et le 18 mars 2026. La version v2.0 (13 mars 2026) a introduit la technique novatrice de bypass ABE analysée dans cet article. Il cible Chrome et Edge (navigateurs basés sur Chromium).

⚙️ Technique de bypass ABE par débogueur

L’Application-Bound Encryption (ABE) a été introduite par Google dans Chrome 127 (juillet 2024) pour protéger les données sensibles (mots de passe, cookies) via une clé maître (v20_master_key) protégée par CryptProtectData en tant que NT AUTHORITY\SYSTEM.

La technique exploitée par VoidStealer :

  1. Création d’un processus navigateur suspendu via CreateProcessW avec les flags CREATE_SUSPENDED et SW_HIDE
  2. Reprise et attachement en tant que débogueur via DebugActiveProcess
  3. Écoute des événements de débogage via WaitForDebugEvent, notamment LOAD_DLL_DEBUG_EVENT
  4. Localisation de la chaîne cible OSCrypt.AppBoundProvider.Decrypt.ResultCode dans la section .rdata de chrome.dll ou msedge.dll via ReadProcessMemory
  5. Scan de la section .text pour trouver l’instruction LEA RCX (opcode 48 8D 0D) référençant cette chaîne
  6. Pose de breakpoints matériels (hardware breakpoints) sur l’adresse cible via les registres de débogage DR0/DR7 et SetThreadContext — sans écriture dans la mémoire du processus
  7. Extraction de la v20_master_key depuis le registre R14 (Edge) ou R15 (Chrome) lors du déclenchement du breakpoint, via deux appels ReadProcessMemory

🎯 Avantages de la technique

  • Aucune élévation de privilèges requise
  • Aucune injection de code dans le processus navigateur
  • Utilisation de breakpoints matériels (pas de modification de la mémoire du navigateur)
  • Empreinte de détection significativement réduite par rapport aux méthodes alternatives

🔗 Origine de la technique

La technique est directement adaptée du projet open-source ElevationKatz (développé par Meckazin, auteur également de CookieKatz et CredentialKatz), disponible publiquement depuis plus de six mois. VoidStealer est le premier malware observé en conditions réelles à l’utiliser.

VoidStealer implémente également une méthode de fallback : injection dans le processus navigateur et invocation de IElevator::DecryptData via l’interface COM (technique documentée dans le projet ChromElevator).

📊 Type d’article

Analyse technique publiée par Gen Threat Labs, dont le but principal est de disséquer pas à pas la technique de bypass ABE de VoidStealer et de fournir des indicateurs de détection à la communauté défensive.

🧠 TTPs et IOCs détectés

TTP

  • T1555.003 — Credentials from Password Stores: Credentials from Web Browsers (Credential Access)
  • T1106 — Native API (Execution)
  • T1055 — Process Injection (Defense Evasion)
  • T1622 — Debugger Evasion (Defense Evasion)
  • T1574 — Hijack Execution Flow (Defense Evasion)
  • T1005 — Data from Local System (Collection)
  • T1083 — File and Directory Discovery (Discovery)
  • T1036 — Masquerading (Defense Evasion)

IOC

  • SHA256 : f783fde5cf7930e4b3054393efadd3675b505cbef8e9d7ae58aa35b435adeea4
  • Fichiers : chrome.dll
  • Fichiers : msedge.dll
  • Fichiers : elevation_service.exe
  • Chemins : %LOCALAPPDATA%\Google\Chrome\User Data\Default\Login Data
  • Chemins : %LOCALAPPDATA%\Google\Chrome\User Data\Local State

Malware / Outils

  • VoidStealer (stealer)
  • ElevationKatz (tool)
  • CookieKatz (tool)
  • CredentialKatz (tool)

🔗 Source originale : https://www.gendigital.com/blog/insights/research/voidstealer-abe-bypass