Malware VoidStealer Curi Kunci Utama Chrome Melalui Trik Debugger

Sebuah perangkat lunak pencuri informasi (infostealer) bernama VoidStealer dilaporkan menggunakan pendekatan baru yang canggih untuk menembus Application-Bound Encryption (ABE) milik Google Chrome. Tujuan utamanya adalah mengekstraksi kunci utama (master key) yang sangat krusial untuk mendekripsi data sensitif yang tersimpan di dalam peramban (browser).

Metode baru ini bekerja jauh lebih senyap dan mengandalkan hardware breakpoints untuk mengekstraksi v20_master_key—yang digunakan oleh peramban untuk proses enkripsi dan dekripsi—secara langsung dari memori sistem. Hebatnya, serangan ini dapat dieksekusi tanpa memerlukan eskalasi hak istimewa (privilege escalation) maupun injeksi kode yang mencurigakan.

Laporan dari Gen Digital, perusahaan induk di balik merek keamanan populer seperti Norton, Avast, AVG, dan Avira, mencatat bahwa ini adalah kasus pertama sebuah infostealer yang teramati beroperasi di alam liar (in the wild) menggunakan mekanisme sedetail itu.

Sebagai latar belakang, Google awalnya memperkenalkan fitur ABE pada Chrome 127 yang dirilis pada Juni 2024 sebagai mekanisme pelindungan ekstra untuk cookie dan data peramban sensitif lainnya. Sistem ini memastikan bahwa kunci utama tetap terenkripsi di dalam diska penyimpanan dan tidak dapat dipulihkan melalui akses tingkat pengguna normal. Untuk mendekripsi kunci tersebut, sistem mengharuskan Google Chrome Elevation Service (yang berjalan dengan akses SYSTEM) untuk memvalidasi proses permintaannya.

Meskipun sistem pelindungan tersebut terbilang kuat, nyatanya ABE telah berhasil ditembus oleh berbagai keluarga malware infostealer dan bahkan telah didemonstrasikan melalui alat sumber terbuka (open-source). Walaupun Google terus menerapkan perbaikan untuk memblokir celah ini, versi malware baru dilaporkan terus menemukan celah keberhasilan menggunakan metode-metode alternatif.

VoidStealer sendiri merupakan platform Malware-as-a-Service (MaaS) komersial yang marak diiklankan di berbagai forum dark web setidaknya sejak pertengahan Desember 2025. Peretas di balik platform ini secara resmi memperkenalkan mekanisme penembusan ABE baru tersebut pada peluncuran malware versi 2.0.

Mekanisme Pencurian Kunci Utama

Trik andalan VoidStealer adalah dengan sabar menargetkan momen yang sangat singkat, yakni ketika v20_master_key milik Chrome muncul sejenak di dalam memori dalam status teks terang (plaintext) selama operasi dekripsi berlangsung.

Secara spesifik, alur serangan VoidStealer berjalan sebagai berikut:

1. Malware memulai proses peramban yang ditangguhkan dan disembunyikan dari pandangan pengguna.
2. Ia kemudian melampirkan dirinya sebagai debugger ke dalam proses tersebut.
3. VoidStealer menunggu hingga fail DLL peramban target (seperti chrome.dll atau msedge.dll) dimuat ke dalam memori.
4. Saat dimuat, malware langsung memindai DLL tersebut untuk mencari string spesifik dan instruksi LEA yang merujuk kepadanya. Alamat instruksi itulah yang kemudian dijadikan target hardware breakpoint.
5. Selanjutnya, malware menetapkan breakpoint tersebut di seluruh thread peramban yang sedang berjalan maupun yang baru dibuat.
6. Ia menunggunya terpicu saat startup, tepat ketika peramban terpaksa mendekripsi data yang dilindungi.
7. Begitu terpicu, malware membaca register yang menahan penunjuk (pointer) ke v20_master_key (plaintext) dan mengekstraksinya menggunakan fungsi ReadProcessMemory.

Menurut analisis Gen Digital, waktu paling ideal bagi malware untuk mengeksekusi aksi ini adalah persis saat startup peramban. Pada momen tersebut, aplikasi akan memuat cookie yang dilindungi ABE di tahap awal, yang secara otomatis memaksa sistem untuk mendekripsi kunci utama.

Para peneliti meyakini bahwa pengembang VoidStealer kemungkinan besar tidak menciptakan teknik canggih ini dari nol. Mereka diduga kuat mengadopsinya dari proyek sumber terbuka bernama ‘ElevationKatz’—sebuah bagian dari perangkat pembuang cookie ChromeKatz yang sengaja dibuat untuk mendemonstrasikan kelemahan keamanan pada arsitektur Chrome. Meskipun terdapat beberapa modifikasi kode, fondasi implementasinya tampak sangat identik dengan ElevationKatz yang telah beredar luas selama lebih dari setahun terakhir.