Um novo ladrão de informações chamado Sryxen surgiu no mercado clandestino de malware, visando sistemas Windows com técnicas avançadas para coletar credenciais de navegador e dados confidenciais.
Vendida como Malware-as-a-Service, esta ameaça baseada em C++ demonstra como os ladrões modernos estão se adaptando para superar as melhorias de segurança do navegador, particularmente a proteção de criptografia vinculada a aplicativos recentemente implementada pelo Google Chrome.
O Sryxen opera como um coletor de credenciais de destruição e captura, projetado para execução rápida sem estabelecer persistência em máquinas infectadas.
O malware tem como alvo o Chrome versão 127 e superior, onde o Google introduziu o App-Bound Encryption para proteger cookies e dados confidenciais do navegador.
Em vez de tentar quebrar essa criptografia diretamente, Sryxen adota uma abordagem inovadora ao iniciar o Chrome no modo headless e usar o protocolo DevTools do próprio navegador para solicitar dados de cookies descriptografados, ignorando totalmente a medida de segurança.
Fluxo de Ataque (Fonte – Deceptico)
Os pesquisadores de segurança da DeceptIQ identificaram que o Sryxen emprega múltiplas camadas de proteção para evitar detecção e análise.
O malware usa criptografia de código baseada em Vectored Exception Handling, mantendo sua carga principal criptografada em repouso e apenas descriptografando-a durante a execução por meio de mecanismos de tratamento de exceções.
Essa técnica torna a análise estática um desafio, pois o código malicioso aparece como dados inúteis quando examinado sem executá-lo.
Além disso, o ladrão implementa seis verificações antidepuração separadas, incluindo inspeção NtGlobalFlag e análise PEB, encerrando a execução se ferramentas de depuração forem detectadas.
Mecanismo de desvio de criptografia do Chrome
A inovação mais significativa no Sryxen é sua abordagem para roubar cookies do Chrome protegidos por App-Bound Encryption.
Quando o malware detecta o Chrome versão 127 ou superior, ele abandona os métodos tradicionais de extração de banco de dados. Em vez disso, ele encerra todos os processos do Chrome em execução e reinicia o navegador com argumentos de linha de comando específicos, incluindo os parâmetros –headless, –remote-debugging-port e –user-data-dir.
A Cadeia DPAPI (Fonte – Deceptiq)
Esses sinalizadores permitem recursos de depuração remota sem exibir janelas visíveis.
Assim que o Chrome for iniciado nesta configuração, o Sryxen se conectará à porta de depuração via WebSocket e enviará um comando do protocolo DevTools solicitando todos os cookies por meio do método Network.getAllCookies.
Ignorar criptografia vinculada ao aplicativo (fonte – Deceptiq)
O Chrome processa essa solicitação internamente, descriptografando os cookies usando sua própria chave de criptografia vinculada ao aplicativo e devolvendo os dados em texto simples ao ladrão. Os cookies descriptografados nunca tocam o disco, tornando o monitoramento baseado em arquivos ineficaz.
Depois de receber os dados, Sryxen encerra o processo do Chrome e continua coletando outras informações do navegador, senhas e dados da carteira de criptomoedas antes de compactar tudo em um arquivo e enviá-lo para um bot do Telegram controlado pelos invasores usando comandos curl executados por meio do PowerShell.
Siga-nos no Google News, LinkedIn e X para obter mais atualizações instantâneas. Defina CSN como fonte preferencial no Google.
