بدافزار Glove Stealer

بدافزار Glove Stealer اخیراً به چشم انداز تهدیدات سایبری اضافه شده است که با قابلیت دور زدن رمزگذاری Application-Bound (App-Bound) Google Chrome متمایز است. این تهدید برای اولین بار توسط محققان امنیت سایبری در طی تحقیقات کمپین فیشینگ شناسایی شد، این تهدید یک لحظه مهم در مسابقه تسلیحاتی بین بازیگران بدخواه و راه حل های امنیتی است.

چیزی که Glove Stealer را متمایز می کند، ساخت نسبتاً ساده آن است. کمترین مکانیسم‌های مبهم یا دفاعی را نشان می‌دهد که به مرحله اولیه توسعه اشاره می‌کند. با این حال، سادگی آن پتانسیل آن را تضعیف نمی کند. این بدافزار چالش جدیدی را به ارمغان می‌آورد و نشان می‌دهد که تکامل آن ممکن است خیلی عقب نباشد.

مهندسی اجتماعی: لانچ پد برای عفونت

زنجیره عفونتی که Glove Stealer را به کار می‌برد، به تاکتیک‌های مهندسی اجتماعی شبیه تاکتیک‌های به کار رفته در کمپین‌های ClickFix وابسته است. قربانیان از طریق ایمیل‌های فیشینگ حاوی پیوست‌های جعلی HTML که پنجره‌های خطا را شبیه‌سازی می‌کنند، اغوا می‌شوند. هنگامی که کاربران با این اعلان‌ها تعامل می‌کنند، ناخواسته فرآیند نصب بدافزار را آغاز می‌کنند و زمینه را برای استخراج اطلاعات حساس فراهم می‌کنند.

هنگامی که در سیستم هدف قرار می گیرد، Glove Stealer کارایی خود را با استخراج سریع کوکی ها از مرورگرهای محبوب از جمله Chrome، Edge، Brave، Yandex و Opera نشان می دهد. دامنه دسترسی آن فراتر از مرورگرها است، زیرا کاربران فایرفاکس را نیز هدف قرار می دهد و یک استراتژی حمله همه کاره را به نمایش می گذارد.

یک دزد اطلاعات همه کاره

یکی از ویژگی های برجسته Glove Stealer توانایی آن در استخراج داده ها از مجموعه وسیعی از منابع است. بدافزار در برداشت ماهر است:

• کوکی‌های مرورگر: هدف اصلی برای جمع‌آوری داده‌های اولیه است که به مهاجمان کمک می‌کند تا جلسات تأیید شده را ربوده کنند.
• کیف پول‌های ارزهای دیجیتال: داده‌های کیف پول را از برنامه‌های افزودنی مرورگر استخراج می‌کند که یک نگرانی مهم برای دارندگان ارز دیجیتال است.
• توکن‌های 2FA: این توکن‌ها جلسات برنامه‌های احراز هویت مانند Google، Microsoft، Aegis و LastPass را هدف قرار می‌دهند و یک لایه ضروری از امنیت را به خطر می‌اندازند.
• داده های رمز عبور: اعتبارنامه های ذخیره شده در مدیران رمز عبور مانند Bitwarden، KeePass و LastPass را شناسایی می کند.
• ایمیل ها: سرویس گیرندگان ایمیل، به ویژه Thunderbird را برای دسترسی به ارتباطات حساس به خطر می اندازد.

فراتر از اینها، Glove Stealer بیش از 280 افزونه مرورگر و تقریباً 80 برنامه کاربردی نصب شده محلی را هدف قرار می دهد و بر روی کیف پول های رمزنگاری، مشتریان ایمیل و ابزارهای احراز هویت تأکید می کند.

دور زدن رمزگذاری App-Bound: The Technical Edge

یکی از مهم ترین پیشرفت های Glove Stealer توانایی آن در دور زدن رمزگذاری App-Bound کروم است. این ویژگی امنیتی که در Chrome 127 معرفی شد، برای محافظت از کوکی‌های مرورگر از دسترسی غیرمجاز طراحی شده است. Glove Stealer از یک ماژول خاص برای دستیابی به این هدف استفاده می کند، با استفاده از سرویس ویندوز IElevator مبتنی بر COM Chrome، که با امتیازات SYSTEM کار می کند تا کلیدهای رمزگذاری شده App-Bound را رمزگشایی و بازیابی کند.

با این حال، این تکنیک به حقوق سرپرست محلی در سیستم آسیب‌دیده نیاز دارد تا ماژول را در فهرست فایل‌های برنامه Chrome قرار دهد. در حالی که این یک مانع اولیه است، بسیاری از مهاجمان راه هایی برای دور زدن این الزامات امتیاز از طریق زنجیره های بهره برداری و تاکتیک های مهندسی اجتماعی پیدا کرده اند.

یک استراتژی آشنا با نام جدید

روشی که Glove Stealer برای دور زدن رمزگذاری استفاده می کند کاملاً جدید نیست. تحلیلگران شباهت‌هایی را بین رویکرد آن و مواردی که در دزدان اطلاعات قبلی دیده می‌شد، پس از اینکه کروم برای اولین بار از رمزگذاری App-Bound خود استفاده کرد، مشاهده کرده‌اند. این یک روند را نشان می دهد: توسعه دهندگان بدافزار تکنیک های ایجاد شده را برای فرار از اقدامات امنیتی جدید اصلاح می کنند. علیرغم نیاز به امتیازات مدیریت، پذیرش Glove Stealer از این بای پس نشان می دهد که توسعه دهندگان آن قصد دارند آن را با جمع آوری کنندگان اطلاعات پیشرفته تر همتراز کنند.

چشم انداز تهدید در حال رشد

از زمان معرفی رمزگذاری App-Bound کروم در ماه جولای، کاهش قابل توجهی در حجم کمپین های سرقت اطلاعات مشاهده نشده است. در واقع، حملات پیچیده‌تر شده‌اند و قربانیان را از طریق روش‌های مختلفی از جمله:

• تبلیغات بد و Spearphishing : استفاده از تبلیغات فریبنده و فیشینگ هدفمند برای به دام انداختن قربانیان.
• بهره برداری از آسیب پذیری ها : استفاده از اکسپلویت های روز صفر و درایورهای آسیب پذیر برای دور زدن پروتکل های امنیتی.
• تاکتیک های آنلاین فریبنده : پنهان کردن بدافزار در راه حل های StackOverflow و پاسخ های مشکل GitHub.

موفقیت مستمر چنین عملیاتی نشان می دهد که حتی اقدامات رمزگذاری قوی نیز نمی تواند به طور منحصر به فرد مهاجمان با انگیزه را بازدارد. The Glove Stealer گواهی بر ماهیت تطبیقی بازیگران تهدید است که به سرعت از پیاده‌سازی‌های امنیتی جدید سوءاستفاده کرده و دور می‌زنند.

جاده پیش رو

در حالی که توسعه مراحل اولیه Glove Stealer و تکنیک‌های بای پس اولیه ممکن است تأثیر فعلی محدودی را نشان دهد، وجود آن به روند گسترده‌تری از قابلیت‌های بدافزار در حال تکامل اشاره دارد. همانطور که این تهدید همچنان در حال توسعه است، می تواند روش های پیچیده تری را برای گسترش دامنه و اثربخشی خود بکار گیرد.

درک ظهور تهدیدهایی مانند سرقت دستکش برای متخصصان امنیت سایبری بسیار مهم است. آگاه ماندن و هوشیار ماندن، به‌روزرسانی دفاع‌های نقطه پایانی، و آموزش کاربران در مورد شناسایی تاکتیک‌های فیشینگ و مهندسی اجتماعی، گام‌های حیاتی برای محافظت در برابر تهدیدات نوظهور است.

سفر Glove Stealer ممکن است به تازگی آغاز شده باشد، اما آماده به چالش کشیدن اقدامات امنیتی و ایجاد نوآوری های بیشتر در امنیت سایبری است.