Preventivo sconto multi-licenza
Database delle minacce Malware Glove Stealer Malware

Glove Stealer Malware

Entro Mezo nel Malware, Ladri
Traduci in:
Italiano

Il malware Glove Stealer è una recente aggiunta al panorama delle minacce informatiche, che si distingue per la sua capacità di bypassare la crittografia Application-Bound (App-Bound) di Google Chrome. Identificata per la prima volta dai ricercatori di sicurezza informatica durante un'indagine su una campagna di phishing, questa minaccia rappresenta un momento cruciale nella corsa agli armamenti tra attori malevoli e soluzioni di sicurezza.

Ciò che distingue Glove Stealer è la sua costruzione relativamente semplice. Mostra un offuscamento minimo o meccanismi difensivi, indicando una fase iniziale di sviluppo. Tuttavia, la sua semplicità non ne mina il potenziale. Questo malware porta una nuova sfida, segnalando che la sua evoluzione potrebbe non essere lontana.

Ingegneria sociale: la rampa di lancio per l’infezione

La catena di infezione che distribuisce Glove Stealer si basa su tattiche di ingegneria sociale che ricordano quelle impiegate nelle campagne ClickFix. Le vittime vengono attirate tramite e-mail di phishing contenenti allegati HTML fraudolenti che simulano finestre di errore. Quando gli utenti interagiscono con queste richieste, attivano inconsapevolmente il processo di installazione del malware, preparando il terreno per l'esfiltrazione di informazioni sensibili.

Una volta all'interno del sistema preso di mira, Glove Stealer dimostra la sua efficacia estraendo rapidamente i cookie dai browser più diffusi, tra cui Chrome, Edge, Brave, Yandex e Opera. La sua portata si estende oltre i browser, poiché prende di mira anche gli utenti di Firefox, mostrando una strategia di attacco versatile.

Un ladro di dati versatile

Una delle caratteristiche più notevoli di Glove Stealer è la sua capacità di estrarre dati da una vasta gamma di fonti. Il malware è abile nel raccogliere:

  • Cookie del browser: obiettivo primario della raccolta iniziale dei dati, poiché aiuta gli aggressori a dirottare le sessioni autenticate.
  • Portafogli di criptovalute: estraggono i dati del portafoglio dalle estensioni del browser, una preoccupazione significativa per i detentori di valuta digitale.
  • Token 2FA: questi token prendono di mira le sessioni delle applicazioni di autenticazione come Google, Microsoft, Aegis e LastPass, mettendo a repentaglio un livello essenziale di sicurezza.
  • Dati della password: ruba le credenziali memorizzate nei gestori di password come Bitwarden, KeePass e LastPass.
  • E-mail: compromette i client di posta, in particolare Thunderbird, per accedere a comunicazioni riservate.

Oltre a ciò, Glove Stealer prende di mira oltre 280 estensioni del browser e circa 80 applicazioni installate localmente, concentrandosi in particolar modo su portafogli di criptovalute, client di posta elettronica e strumenti di autenticazione.

Bypassare la crittografia associata all’app: il vantaggio tecnico

Uno dei più significativi progressi di Glove Stealer è la sua capacità di bypassare la crittografia App-Bound di Chrome. Introdotta in Chrome 127, questa funzionalità di sicurezza è stata progettata per proteggere i cookie del browser da accessi non autorizzati. Glove Stealer sfrutta un modulo specifico per raggiungere questo obiettivo, utilizzando il servizio Windows IElevator basato su COM di Chrome, che opera con privilegi di SISTEMA, per decrittografare e recuperare le chiavi crittografate App-Bound.

Tuttavia, questa tecnica richiede diritti di amministratore locale sul sistema compromesso per piantare il modulo nella directory Program Files di Chrome. Sebbene ciò rappresenti un ostacolo iniziale, molti aggressori hanno trovato modi per aggirare questi requisiti di privilegio tramite catene di exploit e tattiche di ingegneria sociale.

Una strategia familiare con un nuovo nome

Il metodo che Glove Stealer usa per aggirare la crittografia non è del tutto nuovo. Gli analisti hanno notato delle somiglianze tra il suo approccio e quelli visti nei precedenti info stealer emersi dopo che Chrome ha distribuito per la prima volta la sua crittografia App-Bound. Ciò sottolinea una tendenza: gli sviluppatori di malware stanno perfezionando tecniche consolidate per eludere le nuove misure di sicurezza. Nonostante richieda privilegi di amministratore, l'adozione di questo bypass da parte di Glove Stealer segnala che i suoi sviluppatori mirano a portarlo alla pari con i raccoglitori di informazioni più avanzati.

Un panorama di minacce in crescita

Dall'introduzione della crittografia App-Bound di Chrome a luglio, non si è registrato alcun calo significativo nel volume delle campagne di furto di informazioni. In effetti, gli attacchi sono diventati più sofisticati, prendendo di mira le vittime attraverso diversi metodi, come:

  • Malvertising e spear phishing : sfruttare pubblicità ingannevoli e phishing mirato per intrappolare le vittime.
  • Sfruttamento delle vulnerabilità : utilizzo di exploit zero-day e driver vulnerabili per aggirare i protocolli di sicurezza.
  • Tattiche ingannevoli online : mascheramento di malware nelle soluzioni StackOverflow e nelle risposte ai problemi di GitHub.

Il successo continuo di tali operazioni dimostra che anche misure di crittografia robuste non possono scoraggiare singolarmente gli aggressori motivati. The Glove Stealer è una testimonianza della natura adattiva degli attori della minaccia che sono rapidi nello sfruttare e bypassare le nuove implementazioni di sicurezza.

La strada da percorrere

Mentre lo sviluppo iniziale di Glove Stealer e le tecniche di bypass di base potrebbero suggerire un impatto attuale limitato, la sua esistenza indica una tendenza più ampia di capacità di malware in evoluzione. Man mano che questa minaccia continua a svilupparsi, potrebbe incorporare metodi più sofisticati per espandere la sua portata ed efficacia.

Comprendere l'emergere di minacce come Glove Stealer è fondamentale per i professionisti della sicurezza informatica. Rimanere informati e vigili, aggiornare le difese degli endpoint e istruire gli utenti sull'identificazione di tattiche di phishing e social engineering restano passaggi critici per proteggersi dalle minacce emergenti.

Il viaggio di Glove Stealer potrebbe essere appena iniziato, ma è destinato a sfidare le misure di sicurezza e a stimolare ulteriori innovazioni nella sicurezza informatica.

Tendenza

I più visti

Caricamento in corso...