Glove Stealer ļaunprātīga programmatūra

Glove Stealer ļaunprogrammatūra ir nesens papildinājums kiberdraudu ainavai, kas izceļas ar spēju apiet Google Chrome lietojumprogrammām piesaistīto (App-Bound) šifrēšanu. Šo draudu pirmo reizi identificēja kiberdrošības pētnieki pikšķerēšanas kampaņas izmeklēšanas laikā, un tas ir galvenais brīdis bruņošanās sacensībā starp ļaunprātīgiem dalībniekiem un drošības risinājumiem.

Glove Stealer atšķir tā salīdzinoši vienkāršā konstrukcija. Tas parāda minimālu apmulsumu vai aizsardzības mehānismus, norādot uz agrīnu attīstības stadiju. Tomēr tā vienkāršība nemazina tā potenciālu. Šī ļaunprogrammatūra rada jaunu izaicinājumu, norādot, ka tās attīstība var nebūt tālu aiz muguras.

Sociālā inženierija: infekcijas palaišanas bloks

Infekcijas ķēde, kas izvieto Glove Stealer, ir atkarīga no sociālās inženierijas taktikas, kas atgādina ClickFix kampaņās izmantotās taktikas. Upuri tiek pievilināti ar pikšķerēšanas e-pastiem, kuros ir krāpnieciski HTML pielikumi, kas simulē kļūdu logus. Kad lietotāji mijiedarbojas ar šīm uzvednēm, viņi neapzināti aktivizē ļaunprātīgas programmatūras instalēšanas procesu, radot priekšnoteikumus sensitīvas informācijas izfiltrēšanai.

Nokļūstot mērķa sistēmā, Glove Stealer demonstrē savu efektivitāti, ātri izvelkot sīkfailus no populārām pārlūkprogrammām, tostarp Chrome, Edge, Brave, Yandex un Opera. Tā sasniedzamība pārsniedz pārlūkprogrammas, jo tā ir paredzēta arī Firefox lietotājiem, demonstrējot daudzpusīgu uzbrukuma stratēģiju.

Daudzpusīgs datu zaglis

Viena no Glove Stealer izcilajām funkcijām ir tā spēja iegūt datus no plaša avotu klāsta. Ļaunprātīga programmatūra ir prasmīga ražas novākšanai:

• Pārlūka sīkfaili: primārais sākotnējās datu vākšanas mērķis, kas palīdz uzbrucējiem nolaupīt autentificētas sesijas.
• Kriptovalūtas maki: izvelk maka datus no pārlūkprogrammas paplašinājumiem, kas rada nopietnas bažas digitālās valūtas turētājiem.
• 2FA marķieri: šie marķieri ir paredzēti sesijām no autentifikācijas lietojumprogrammām, piemēram, Google, Microsoft, Aegis un LastPass, apdraudot būtisku drošības līmeni.
• Paroles dati: Pilfers akreditācijas dati, kas tiek glabāti paroļu pārvaldniekos, piemēram, Bitwarden, KeePass un LastPass.
• E-pasti: apdraud pasta klientus, jo īpaši Thunderbird, lai piekļūtu sensitīvai saziņai.

Papildus tiem Glove Stealer ir paredzēts vairāk nekā 280 pārlūkprogrammas paplašinājumiem un aptuveni 80 lokāli instalētām lietojumprogrammām, uzsverot, ka tas koncentrējas uz kriptovalūtas makiem, e-pasta klientiem un autentifikācijas rīkiem.

Lietojumprogrammas šifrēšanas apiešana: tehniskā robeža

Viens no Glove Stealer nozīmīgākajiem sasniegumiem ir tā spēja apiet Chrome App-Bound šifrēšanu. Šis drošības līdzeklis, kas ieviests pārlūkprogrammā Chrome 127, tika izstrādāts, lai aizsargātu pārlūkprogrammas sīkfailus no nesankcionētas piekļuves. Lai to panāktu, Glove Stealer izmanto īpašu moduli, izmantojot Chrome COM balstītu IElevator Windows pakalpojumu, kas darbojas ar SISTĒMAS privilēģijām, lai atšifrētu un izgūtu App-Bound šifrētās atslēgas.

Tomēr šim paņēmienam ir nepieciešamas vietējās administratora tiesības apdraudētajā sistēmā, lai moduli ievietotu Chrome programmu failu direktorijā. Lai gan tas rada sākotnējo šķērsli, daudzi uzbrucēji ir atraduši veidus, kā apiet šīs privilēģiju prasības, izmantojot ekspluatācijas ķēdes un sociālās inženierijas taktikas.

Pazīstama stratēģija ar jaunu nosaukumu

Metode, ko Glove Stealer izmanto, lai apietu šifrēšanu, nav gluži jauna. Analītiķi ir pamanījuši līdzības starp tās pieeju un tām, kas tika novērotas agrākajos informācijas zagļos, kas parādījās pēc tam, kad Chrome pirmo reizi izvietoja savu App-Bound šifrēšanu. Tas uzsver tendenci: ļaunprātīgas programmatūras izstrādātāji uzlabo iedibinātās metodes, lai izvairītos no jauniem drošības pasākumiem. Neskatoties uz to, ka ir nepieciešamas administratora privilēģijas, Glove Stealer šīs apiešanas pieņemšana liecina, ka tā izstrādātāju mērķis ir panākt, lai tas būtu līdzvērtīgs progresīvākiem informācijas vācējiem.

Pieaugoša draudu ainava

Kopš Chrome App-Bound šifrēšanas ieviešanas jūlijā, informācijas zagšanas kampaņu apjoms nav būtiski samazinājies. Faktiski uzbrukumi ir kļuvuši sarežģītāki, vēršoties pret upuriem, izmantojot dažādas metodes, piemēram:

• Ļaunprātīga reklāma un pikšķerēšana : maldinošu reklāmu un mērķtiecīgas pikšķerēšanas izmantošana, lai notvertu upurus.
• Ievainojamību izmantošana : nulles dienas ļaunprātīgu izmantošanu un neaizsargātu draiveru izmantošana, lai apietu drošības protokolus.
• Maldinoša tiešsaistes taktika : ļaunprātīgas programmatūras maskēšana StackOverflow risinājumos un GitHub problēmu atbildēs.

Šādu darbību nepārtrauktie panākumi parāda, ka pat spēcīgi šifrēšanas pasākumi nevar atturēt motivētus uzbrucējus. Glove Stealer ir apliecinājums draudu dalībnieku adaptīvajam raksturam, kuri ātri izmanto un apiet jaunus drošības risinājumus.

Ceļš priekšā

Lai gan Glove Stealer agrīnā izstrādes stadija un pamata apiešanas metodes varētu liecināt par ierobežotu pašreizējo ietekmi, tā esamība norāda uz plašāku ļaunprogrammatūras iespēju attīstības tendenci. Tā kā šis apdraudējums turpina attīstīties, tas varētu ietvert sarežģītākas metodes, lai paplašinātu tā sasniedzamību un efektivitāti.

Kiberdrošības profesionāļiem ir ļoti svarīgi izprast tādu draudu rašanos kā Glove Stealer. Būtiski informētības un modrības saglabāšana, galapunktu aizsardzības atjaunināšana un lietotāju izglītošana par pikšķerēšanas un sociālās inženierijas taktikas identificēšanu joprojām ir būtiski soļi, lai aizsargātos pret jauniem draudiem.

Glove Stealer ceļojums, iespējams, ir tikko sācies, taču tas ir gatavs apstrīdēt drošības pasākumus un rosināt turpmākus jauninājumus kiberdrošībā.