La sicurezza informatica torna a fare i conti con una minaccia sofisticata. Gli analisti di Gen Digital hanno individuato VoidStealer, un malware distribuito come servizio sul dark web che rappresenta un punto di svolta nel panorama delle infezioni da furto dati. Quello che rende questa scoperta particolarmente preoccupante è la capacità dimostrata di superare le difese che Google ha appositamente progettato per impedire esattamente questo genere di attacco ai danni dei milioni di utenti di Chrome.
A luglio 2024 il gigante della ricerca ha introdotto in Chrome 127 una funzionalità chiamata Application-Bound Encryption (ABE), una forma di protezione crittografica pensata per mettere al sicuro le informazioni sensibili conservate nel browser, come password, sessioni di accesso e dati bancari. Google aveva garantito pubblicamente che questa barriera rendesse impossibile agli infostealer tradizionali accedere alla master key, la chiave principale necessaria per decifrare tutti gli altri dati. VoidStealer dimostra che quella certezza era prematura.
La sofisticazione del metodo impiegato dal malware è notevole. Il programma, apparso nei mercati clandestini a dicembre 2025 con aggiornamenti costanti fino a marzo 2026, utilizza una tecnica che non richiede l'iniezione di codice nei processi di Chrome né l'escalation dei privilegi, due barriere che il team di Google ha progressivamente irrobustito. Invece, VoidStealer sfrutta una finestra temporale cruciale: il momento brevissimo in cui la master key si trova in chiaro nella memoria del computer durante le operazioni di decifratura. Il malware si aggancia al processo di Chrome in veste di debugger e, una volta caricato il file chrome.dll, esegue una scansione per individuare esattamente dove risiede la chiave in memoria. A quel punto imposta un punto di interruzione hardware sull'indirizzo specifico e legge la master key all'avvio del browser, proprio quando ABE la utilizza per sbloccare i dati crittografati.
Identificare questa tipologia di attacco rappresenta una sfida considerevole per i sistemi di difesa attuali. Gli esperti di Gen Digital suggeriscono di monitorare attentamente l'attivazione di funzioni di debug e di tenere sotto controllo i tentativi di accesso anomali alla memoria del browser. Tuttavia, riconoscere questi comportamenti in tempo reale rimane complesso. Finora Google non ha rilasciato dichiarazioni pubbliche sulla questione, lasciando aperti interrogativi su eventuali contromisure in via di sviluppo.
La scoperta accende i riflettori su una realtà scomoda: anche le protezioni più avanzate rimangono vulnerabili quando affrontate da avversari sufficientemente motivati e preparati. VoidStealer, distribuito come servizio attraverso il dark web, rappresenta una minaccia accessibile a chiunque disponga dei fondi necessari, moltiplicando il rischio per milioni di utenti Chrome in tutto il mondo. I dettagli tecnici completi sono stati pubblicati dal team di Gen Digital per consentire ai difensori di sviluppare strategie di contenimento, ma il tempo gioca a favore di chi vuole mantenere il vantaggio offerto da questa vulnerabilità.
