Neuer Chrome-Hack: VoidStealer liest Passwörter per Debugger aus dem RAM

VonJörn Schmidt
Android Malware

Google führte im vergangenen Jahr die Application-Bound Encryption ein. Diese Funktion sollte Chrome-Passwörter effektiv vor Datendiebstahl schützen. Die Realität sieht im Frühjahr 2026 anders aus. Eine neue Malware namens VoidStealer hebelt diesen Schutzmechanismus extrem unauffällig aus. Dieser Infostealer zirkuliert bereits seit Dezember 2025 in dunklen Foren. Im März 2026 erhielt die Schadsoftware ein gefährliches Update auf Version 2.0. Die Entwickler integrierten eine völlig neue Technik zum Umgehen der Verschlüsselung.

Bisherige Angriffe setzten meist auf laute Methoden. Hacker schleusten eigenen Code in den Browser-Prozess ein oder erzwangen weitreichende Systemrechte. Antivirenprogramme erkennen solche Manöver relativ schnell. VoidStealer wählt einen intelligenteren Weg. Das Programm verzichtet komplett auf Code-Injection. Es startet den Browser im Hintergrund und klinkt sich unsichtbar als legitimer Debugger in das System ein. Diese Vorgehensweise löst bei herkömmlichen Sicherheitslösungen kaum Alarm aus.

Der eigentliche Diebstahl passiert in einem winzigen Zeitfenster. Der Browser muss die gespeicherten Daten beim Start kurzzeitig selbst entschlüsseln. Genau auf diesen Moment wartet die Malware. Sie scannt den Arbeitsspeicher nach einer spezifischen Zeichenkette in der Datei chrome.dll. Dort setzt der Schädling einen sogenannten Hardware-Breakpoint. Der Prozess stoppt exakt dann, wenn der zentrale Entschlüsselungs-Key für den Bruchteil einer Sekunde unverschlüsselt im RAM liegt. Ein einfacher Lesebefehl kopiert diesen Schlüssel anschließend.

Die Programmierer erfanden diesen raffinierten Trick nicht einmal selbst. Sie kopierten die Technik schlicht aus dem frei zugänglichen Open-Source-Projekt ElevationKatz. Das verschärft die Situation für die alltägliche Cybersecurity enorm. Andere kriminelle Gruppen werden diese Blaupause in naher Zukunft garantiert übernehmen. Systemadministratoren stehen nun vor einer neuen Herausforderung. Sie müssen künftig streng überwachen, welche Programme sich völlig selbstständig als Debugger an laufende Browser-Prozesse hängen oder diese versteckt im Hintergrund ausführen.

Verpasse keine News, folge mir auf WhatsApp oder Google News


Links mit einem * sind Partner-Links. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalte ich eine kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Jörn Schmidt Profilbild

Android-Fan seit 2010, Outdoor- & Skandinavien-Fan, Kino-Freak und derzeitiger User eines Google Pixel 9 Pro XL mit Android 16

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert