skybreaker https://blog.hatena.ne.jp/skybreaker/ Slapdash Safeguards https://www.sdsg.moe/ 脅威情報 by skybreaker ブラウザに保存された認証情報は簡単にはアクセスできず、Windowsに保存されたキー(DPAPI)で保護されている。 通常、起動中のブラウザによってこの鍵を使うことで、ブラウザに保存された認証情報を読んでいる。 Sryxen Stealerはブラウザをヘッドレス(バックグラウンド)で起動して、認証情報を盗む。 別に目新しい手法でも無いとは思うが、具体的どのように行われるかは知らなかった。 Chromeのヘッドレス起動 DECEPTIQの解析より、起動時のオプションは以下のよう。 // core.cpp - Launch Chrome with remote debugging std::wst… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fwww.sdsg.moe%2Fentry%2F2025%2F12%2F06%2F202644" title="「Sryxen」バックグラウンドでのブラウザ実行でブラウザに保存された認証情報を盗む - Slapdash Safeguards" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> Hatena Blog https://hatena.blog 2025-12-06 20:26:44 rich https://www.sdsg.moe/entry/2025/12/06/202644 1.0 100%