Glove Stealer Malware
글러브 스틸러 맬웨어는 사이버 위협의 영역에 최근 추가된 것으로, 구글 크롬의 애플리케이션 바운드(앱 바운드) 암호화를 우회하는 기능으로 구별됩니다. 피싱 캠페인 조사 중에 사이버 보안 연구원들이 처음 발견한 이 위협은 악의적인 행위자와 보안 솔루션 간의 군비 경쟁에서 중요한 순간을 나타냅니다.
글러브 스틸러를 차별화하는 것은 비교적 간단한 구조입니다. 최소한의 난독화나 방어 메커니즘을 보여주며, 이는 초기 개발 단계를 나타냅니다. 그러나 단순함이 잠재력을 훼손하지는 않습니다. 이 맬웨어는 새로운 도전을 가져오며, 진화가 멀지 않을 수도 있음을 알립니다.
목차
사회공학: 감염의 발사대
Glove Stealer를 배포하는 감염 사슬은 ClickFix 캠페인에서 사용된 것과 유사한 사회 공학 전술에 달려 있습니다. 피해자는 오류 창을 시뮬레이션하는 사기성 HTML 첨부 파일이 포함된 피싱 이메일을 통해 유혹을 받습니다. 사용자가 이러한 프롬프트와 상호 작용하면 모르게 맬웨어 설치 프로세스가 트리거되어 민감한 정보가 유출되는 단계가 설정됩니다.
Glove Stealer는 대상 시스템에 침투하면 Chrome, Edge, Brave, Yandex, Opera 등 인기 있는 브라우저에서 쿠키를 빠르게 추출하여 효과를 입증합니다. 브라우저를 넘어 Firefox 사용자도 대상으로 삼아 다재다능한 공격 전략을 보여줍니다.
다재다능한 데이터 스틸러
Glove Stealer의 두드러진 특징 중 하나는 광범위한 소스에서 데이터를 추출하는 능력입니다. 이 맬웨어는 다음을 수집하는 데 능숙합니다.
- 브라우저 쿠키: 초기 데이터 수집의 주요 대상으로, 공격자가 인증된 세션을 하이재킹하는 데 도움이 됩니다.
- 암호화폐 지갑: 브라우저 확장 프로그램에서 지갑 데이터를 추출하는데, 이는 디지털 화폐 보유자에게 큰 문제입니다.
- 2FA 토큰: 이 토큰은 Google, Microsoft, Aegis, LastPass와 같은 인증 애플리케이션의 세션을 대상으로 하며, 필수적인 보안 계층을 위협합니다.
- 비밀번호 데이터: Bitwarden, KeePass, LastPass와 같은 비밀번호 관리자에 저장된 자격 증명을 훔칩니다.
- 이메일: Thunderbird 등의 메일 클라이언트를 침해하여 중요한 통신 내용에 접근합니다.
이 외에도 Glove Stealer는 280개 이상의 브라우저 확장 프로그램과 약 80개의 로컬 설치 애플리케이션을 표적으로 삼고 있으며, 암호화폐 지갑, 이메일 클라이언트 및 인증 도구에 중점을 두고 있습니다.
앱 바운드 암호화 우회: 기술적 우위
Glove Stealer의 가장 중요한 발전 중 하나는 Chrome의 App-Bound 암호화를 우회하는 기능입니다. Chrome 127에 도입된 이 보안 기능은 브라우저 쿠키를 무단 액세스로부터 보호하도록 설계되었습니다. Glove Stealer는 이를 달성하기 위해 특정 모듈을 활용하며, SYSTEM 권한으로 작동하는 Chrome의 COM 기반 IElevator Windows 서비스를 사용하여 App-Bound 암호화 키를 해독하고 검색합니다.
그러나 이 기술은 모듈을 Chrome의 Program Files 디렉터리에 심기 위해 손상된 시스템에 대한 로컬 관리자 권한이 필요합니다. 이는 초기 장애물이지만 많은 공격자는 익스플로잇 체인과 소셜 엔지니어링 전술을 통해 이러한 권한 요구 사항을 우회하는 방법을 찾았습니다.
새로운 이름을 가진 친숙한 전략
Glove Stealer가 암호화를 우회하는 데 사용하는 방법은 전적으로 새로운 것은 아닙니다. 분석가들은 이 접근 방식과 Chrome이 처음으로 앱 바운드 암호화를 배포한 후 등장한 이전 정보 도용범에서 본 접근 방식 사이에 유사점이 있다고 지적했습니다. 이는 맬웨어 개발자가 새로운 보안 조치를 회피하기 위해 기존 기술을 개선한다는 추세를 강조합니다. 관리자 권한이 필요함에도 불구하고 Glove Stealer가 이 우회를 채택한 것은 개발자가 더 진보된 정보 수집기와 동등하게 만들려는 것을 보여줍니다.
증가하는 위협 환경
7월에 크롬의 앱 바운드 암호화가 도입된 이후로 정보 도용 캠페인의 양은 크게 감소하지 않았습니다. 사실, 공격은 더욱 정교해져서 다음과 같은 다양한 방법을 통해 피해자를 표적으로 삼습니다.
- 멀버타이징과 스피어피싱 : 사기성 광고와 타깃형 피싱을 활용해 피해자를 함정에 빠뜨립니다.
- 취약점 악용 : 제로데이 익스플로잇과 취약한 드라이버를 사용하여 보안 프로토콜을 우회합니다.
- 기만적인 온라인 전술 : StackOverflow 솔루션과 GitHub 문제 응답에서 맬웨어를 위장합니다.
이러한 작전의 지속적인 성공은 강력한 암호화 조치조차도 동기가 부여된 공격자를 단독으로 막을 수 없다는 것을 보여줍니다. Glove Stealer는 새로운 보안 구현을 빠르게 악용하고 우회하는 위협 행위자의 적응적 특성을 증명합니다.
앞으로의 길
글러브 스틸러의 초기 개발 단계와 기본 우회 기술은 현재 영향이 제한적일 수 있음을 시사하지만, 그 존재는 진화하는 맬웨어 기능의 더 광범위한 추세를 가리킨다. 이 위협이 계속 발전함에 따라 범위와 효과를 확장하기 위해 더 정교한 방법을 통합할 수 있다.
Glove Stealer와 같은 위협의 출현을 이해하는 것은 사이버 보안 전문가에게 매우 중요합니다. 정보를 얻고 경계하며, 엔드포인트 방어를 업데이트하고, 피싱 및 소셜 엔지니어링 전술을 식별하는 방법에 대한 사용자 교육을 하는 것은 새로운 위협으로부터 보호하는 데 중요한 단계로 남아 있습니다.
글러브 스틸러의 여정은 이제 막 시작되었을지 모르지만, 보안 대책에 도전하고 사이버 보안에 대한 추가 혁신을 촉진할 태세에 있습니다.
