Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Oprogramowanie szpiegujące Glove Stealer

Oprogramowanie szpiegujące Glove Stealer

Do Mezo w Złośliwe oprogramowanie, Złodzieje
Przetłumacz na:
Polski

Oprogramowanie Glove Stealer Malware to niedawny dodatek do krajobrazu cyberzagrożeń, wyróżniający się zdolnością do omijania szyfrowania Application-Bound (App-Bound) przeglądarki Google Chrome. Po raz pierwszy zidentyfikowane przez badaczy cyberbezpieczeństwa podczas dochodzenia w sprawie kampanii phishingowej, zagrożenie to stanowi kluczowy moment w wyścigu zbrojeń między złośliwymi aktorami a rozwiązaniami bezpieczeństwa.

Cechą wyróżniającą Glove Stealer jest jego stosunkowo prosta konstrukcja. Wykazuje minimalne zaciemnianie lub mechanizmy obronne, wskazując na wczesny etap rozwoju. Jednak jego prostota nie podważa jego potencjału. To złośliwe oprogramowanie niesie ze sobą nowe wyzwanie, sygnalizując, że jego ewolucja może być tuż za nim.

Inżynieria społeczna: platforma startowa do infekcji

Łańcuch infekcji, który uruchamia Glove Stealer, opiera się na taktykach socjotechnicznych przypominających te stosowane w kampaniach ClickFix. Ofiary są wabione za pomocą wiadomości phishingowych zawierających fałszywe załączniki HTML, które symulują okna błędów. Kiedy użytkownicy wchodzą w interakcję z tymi monitami, nieświadomie uruchamiają proces instalacji złośliwego oprogramowania, przygotowując grunt pod eksfiltrację poufnych informacji.

Po dostaniu się do docelowego systemu Glove Stealer demonstruje swoją skuteczność, szybko wyodrębniając pliki cookie z popularnych przeglądarek, w tym Chrome, Edge, Brave, Yandex i Opera. Jego zasięg wykracza poza przeglądarki, ponieważ atakuje również użytkowników Firefoksa, prezentując wszechstronną strategię ataku.

Wszechstronny złodziej danych

Jedną z wyróżniających się cech Glove Stealer jest jego zdolność do wydobywania danych z ogromnej liczby źródeł. Malware jest biegły w zbieraniu:

  • Pliki cookie przeglądarki: główny cel początkowego gromadzenia danych, ułatwiający atakującym przejmowanie uwierzytelnionych sesji.
  • Portfele kryptowalutowe: Wyodrębniają dane portfela z rozszerzeń przeglądarki, co jest istotną kwestią dla posiadaczy kryptowalut.
  • Tokeny 2FA: Te tokeny są przeznaczone dla sesji z aplikacji uwierzytelniających, takich jak Google, Microsoft, Aegis i LastPass, co zagraża istotnej warstwie zabezpieczeń.
  • Dane dotyczące haseł: Kradnie dane uwierzytelniające przechowywane w menedżerach haseł, takich jak Bitwarden, KeePass i LastPass.
  • E-maile: Umożliwia dostęp do poufnych komunikatów za pośrednictwem klientów poczty elektronicznej, zwłaszcza Thunderbirda.

Ponadto Glove Stealer atakuje ponad 280 rozszerzeń przeglądarek i około 80 lokalnie zainstalowanych aplikacji, kładąc nacisk na portfele kryptowalut, klientów poczty e-mail i narzędzia uwierzytelniania.

Omijanie szyfrowania związanego z aplikacją: przewaga techniczna

Jednym z najważniejszych osiągnięć Glove Stealer jest możliwość ominięcia szyfrowania App-Bound przeglądarki Chrome. Ta funkcja bezpieczeństwa, wprowadzona w Chrome 127, została zaprojektowana w celu ochrony plików cookie przeglądarki przed nieautoryzowanym dostępem. Glove Stealer wykorzystuje w tym celu specjalny moduł, używając usługi IElevator Windows opartej na COM przeglądarki Chrome, która działa z uprawnieniami SYSTEM, w celu odszyfrowania i pobrania zaszyfrowanych kluczy App-Bound.

Jednak ta technika wymaga lokalnych uprawnień administratora w zainfekowanym systemie, aby umieścić moduł w katalogu Program Files przeglądarki Chrome. Chociaż stanowi to początkową przeszkodę, wielu atakujących znalazło sposoby na ominięcie tych wymagań uprawnień za pomocą łańcuchów exploitów i taktyk socjotechnicznych.

Znana strategia pod nową nazwą

Metoda, której Glove Stealer używa do omijania szyfrowania, nie jest całkowicie nowa. Analitycy zauważyli podobieństwa między tym podejściem a tymi, które obserwowano we wcześniejszych złodziejach informacji, które pojawiły się po tym, jak Chrome po raz pierwszy wdrożył szyfrowanie App-Bound. Podkreśla to pewien trend: twórcy złośliwego oprogramowania udoskonalają ustalone techniki, aby ominąć nowe środki bezpieczeństwa. Pomimo wymagania uprawnień administratora, przyjęcie tego obejścia przez Glove Stealer sygnalizuje, że jego twórcy zamierzają doprowadzić je do poziomu bardziej zaawansowanych zbieraczy informacji.

Rosnący krajobraz zagrożeń

Od wprowadzenia szyfrowania App-Bound w Chrome w lipcu nie odnotowano znaczącego spadku liczby kampanii kradzieży informacji. W rzeczywistości ataki stały się bardziej wyrafinowane, atakując ofiary za pomocą różnych metod, takich jak:

  • Malvertising i spearphishing : wykorzystywanie oszukańczych reklam i ukierunkowanego phishingu w celu złapania ofiar w pułapkę.
  • Wykorzystywanie luk w zabezpieczeniach : wykorzystywanie luk typu zero-day i podatnych na ataki sterowników w celu ominięcia protokołów bezpieczeństwa.
  • Zwodnicze taktyki online : maskowanie złośliwego oprogramowania w rozwiązaniach StackOverflow i odpowiedziach na problemy GitHub.

Ciągły sukces takich operacji pokazuje, że nawet solidne środki szyfrowania nie są w stanie powstrzymać zmotywowanych atakujących. Glove Stealer jest dowodem na adaptacyjną naturę aktorów zagrożeń, którzy szybko wykorzystują i omijają nowe implementacje zabezpieczeń.

Droga przed nami

Podczas gdy wczesny etap rozwoju Glove Stealer i podstawowe techniki obejścia mogą sugerować ograniczony obecny wpływ, jego istnienie wskazuje na szerszy trend ewolucji możliwości złośliwego oprogramowania. W miarę rozwoju tego zagrożenia może ono włączyć bardziej wyrafinowane metody, aby zwiększyć swój zasięg i skuteczność.

Zrozumienie pojawiania się zagrożeń, takich jak Glove Stealer, jest kluczowe dla specjalistów od cyberbezpieczeństwa. Pozostawanie poinformowanym i czujnym, aktualizowanie zabezpieczeń punktów końcowych oraz edukowanie użytkowników w zakresie identyfikowania taktyk phishingu i inżynierii społecznej pozostają kluczowymi krokami w zabezpieczaniu się przed pojawiającymi się zagrożeniami.

Choć przygoda Glove Stealer dopiero się zaczyna, jest ona gotowa rzucić wyzwanie środkom bezpieczeństwa i zapoczątkować dalsze innowacje w dziedzinie cyberbezpieczeństwa.

Popularne

Oszustwo „Błąd Twojego serwera pocztowego”

Spam, Phishing
Wiadomości e-mail „Błąd Twojego serwera pocztowego” są rozpowszechniane w ramach schematu phishingu. Oszuści mają na celu nakłonienie użytkowników do odwiedzenia strony phishingowej, która będzie gromadzić wszystkie wprowadzone informacje. W tej konkretnej taktyce, e-maile z przynętą twierdzą, że użytkownicy nie otrzymali 4 przychodzących wiadomości e-mail. Według fałszywych wiadomości jedynym...

Najczęściej oglądane

Ładowanie...