มัลแวร์ขโมยถุงมือ
มัลแวร์ขโมยถุงมือเป็นภัยคุกคามทางไซเบอร์รูปแบบใหม่ซึ่งโดดเด่นด้วยความสามารถในการข้ามการเข้ารหัสแบบ Application-Bound (App-Bound) ของ Google Chrome นักวิจัยด้านความปลอดภัยทางไซเบอร์ระบุภัยคุกคามนี้ได้เป็นครั้งแรกระหว่างการสืบสวนแคมเปญฟิชชิ่ง ภัยคุกคามนี้ถือเป็นจุดเปลี่ยนสำคัญในการแข่งขันระหว่างผู้ไม่ประสงค์ดีและโซลูชันด้านความปลอดภัย
สิ่งที่ทำให้ Glove Stealer แตกต่างคือโครงสร้างที่ค่อนข้างตรงไปตรงมา กลไกการป้องกันหรือความคลุมเครือเพียงเล็กน้อย ซึ่งบ่งชี้ถึงการพัฒนาในระยะเริ่มต้น อย่างไรก็ตาม ความเรียบง่ายของมันไม่ได้ลดทอนศักยภาพของมันลง มัลแวร์ตัวนี้มาพร้อมกับความท้าทายใหม่ ซึ่งบ่งชี้ว่าวิวัฒนาการของมันอาจตามมาในไม่ช้า
สารบัญ
วิศวกรรมสังคม: จุดเริ่มต้นสำหรับการติดเชื้อ
ห่วงโซ่การติดเชื้อที่ใช้ Glove Stealer นั้นขึ้นอยู่กับกลวิธีทางวิศวกรรมสังคมที่ชวนให้นึกถึงที่ใช้ในแคมเปญ ClickFix เหยื่อจะถูกล่อลวงผ่านอีเมลฟิชชิ่งที่มีไฟล์แนบ HTML ปลอมที่เลียนแบบหน้าต่างแสดงข้อผิดพลาด เมื่อผู้ใช้โต้ตอบกับข้อความแจ้งเตือนเหล่านี้ พวกเขาจะกระตุ้นกระบวนการติดตั้งมัลแวร์โดยไม่ตั้งใจ ซึ่งทำให้เกิดการขโมยข้อมูลที่ละเอียดอ่อน
เมื่อเข้าไปในระบบเป้าหมายแล้ว Glove Stealer จะแสดงให้เห็นถึงประสิทธิภาพโดยดึงคุกกี้จากเบราว์เซอร์ยอดนิยม เช่น Chrome, Edge, Brave, Yandex และ Opera อย่างรวดเร็ว การโจมตีนี้ขยายขอบเขตออกไปนอกเบราว์เซอร์ เนื่องจากยังกำหนดเป้าหมายผู้ใช้ Firefox ด้วยเช่นกัน แสดงให้เห็นถึงกลยุทธ์การโจมตีที่หลากหลาย
ตัวขโมยข้อมูลอเนกประสงค์
คุณสมบัติที่โดดเด่นอย่างหนึ่งของ Glove Stealer คือความสามารถในการดึงข้อมูลจากแหล่งต่างๆ มากมาย มัลแวร์นี้เชี่ยวชาญในการรวบรวมข้อมูล:
- คุกกี้เบราว์เซอร์: เป้าหมายหลักในการรวบรวมข้อมูลเบื้องต้น ช่วยให้ผู้โจมตีเข้าถึงเซสชันที่ผ่านการรับรอง
- กระเป๋าเงินสกุลเงินดิจิทัล: ดึงข้อมูลกระเป๋าเงินจากส่วนขยายเบราว์เซอร์ ซึ่งเป็นข้อกังวลที่สำคัญสำหรับผู้ถือสกุลเงินดิจิทัล
- โทเค็น 2FA: โทเค็นเหล่านี้กำหนดเป้าหมายเซสชันจากแอปพลิเคชันการตรวจสอบสิทธิ์เช่น Google, Microsoft, Aegis และ LastPass ซึ่งอาจทำให้เกิดความเสี่ยงต่อชั้นความปลอดภัยที่สำคัญ
- ข้อมูลรหัสผ่าน: ข้อมูลประจำตัวการขโมยจะถูกเก็บไว้ในโปรแกรมจัดการรหัสผ่าน เช่น Bitwarden, KeePass และ LastPass
- อีเมล: ขัดขวางโปรแกรมไคลเอ็นต์อีเมลโดยเฉพาะ Thunderbird ในการเข้าถึงการสื่อสารที่ละเอียดอ่อน
นอกจากนี้ Glove Stealer ยังมุ่งเป้าไปที่ส่วนขยายเบราว์เซอร์มากกว่า 280 รายการและแอปพลิเคชันที่ติดตั้งในเครื่องประมาณ 80 รายการ โดยเน้นที่กระเป๋าเงินสกุลเงินดิจิทัล ไคลเอนต์อีเมล และเครื่องมือการตรวจสอบสิทธิ์
การหลีกเลี่ยงการเข้ารหัสที่ผูกกับแอป: ข้อได้เปรียบทางเทคนิค
ความก้าวหน้าที่สำคัญที่สุดอย่างหนึ่งของ Glove Stealer คือความสามารถในการหลีกเลี่ยงการเข้ารหัส App-Bound ของ Chrome คุณลักษณะด้านความปลอดภัยนี้ซึ่งเปิดตัวใน Chrome 127 ได้รับการออกแบบมาเพื่อป้องกันคุกกี้ของเบราว์เซอร์จากการเข้าถึงโดยไม่ได้รับอนุญาต Glove Stealer ใช้ประโยชน์จากโมดูลเฉพาะเพื่อให้บรรลุเป้าหมายนี้ โดยใช้บริการ IElevator Windows ที่ใช้ COM ของ Chrome ซึ่งทำงานด้วยสิทธิ์ SYSTEM เพื่อถอดรหัสและดึงคีย์ที่เข้ารหัส App-Bound
อย่างไรก็ตาม เทคนิคนี้ต้องใช้สิทธิ์ผู้ดูแลระบบภายในระบบที่ถูกบุกรุกเพื่อวางโมดูลไว้ในไดเร็กทอรี Program Files ของ Chrome แม้ว่าวิธีนี้จะเป็นอุปสรรคในเบื้องต้น แต่ผู้โจมตีหลายรายก็พบวิธีที่จะหลีกเลี่ยงข้อกำหนดสิทธิ์เหล่านี้โดยใช้ห่วงโซ่ช่องโหว่และกลวิธีทางวิศวกรรมสังคม
กลยุทธ์ที่คุ้นเคยด้วยชื่อใหม่
วิธีการที่ Glove Stealer ใช้เพื่อหลบเลี่ยงการเข้ารหัสนั้นไม่ใช่เรื่องใหม่ นักวิเคราะห์ได้สังเกตเห็นความคล้ายคลึงระหว่างวิธีการนี้กับวิธีการที่พบในโปรแกรมขโมยข้อมูลก่อนหน้านี้ที่เกิดขึ้นหลังจากที่ Chrome ได้นำการเข้ารหัสแบบ App-Bound มาใช้เป็นครั้งแรก ซึ่งสิ่งนี้เน้นย้ำถึงแนวโน้มดังกล่าว: นักพัฒนาซอฟต์แวร์มัลแวร์ได้ปรับปรุงเทคนิคที่ใช้อยู่เพื่อหลบเลี่ยงมาตรการรักษาความปลอดภัยใหม่ๆ แม้ว่าจะต้องมีสิทธิ์ของผู้ดูแลระบบ แต่การนำวิธีหลบเลี่ยงนี้มาใช้ของ Glove Stealer ถือเป็นสัญญาณว่านักพัฒนาซอฟต์แวร์ตั้งใจที่จะยกระดับให้เทียบเท่ากับโปรแกรมรวบรวมข้อมูลขั้นสูง
ภูมิทัศน์ของภัยคุกคามที่กำลังเติบโต
นับตั้งแต่ Chrome ได้เปิดตัวการเข้ารหัส App-Bound ในเดือนกรกฎาคม ก็ไม่มีการลดลงอย่างมีนัยสำคัญในปริมาณแคมเปญขโมยข้อมูล ในความเป็นจริง การโจมตีมีความซับซ้อนมากขึ้น โดยกำหนดเป้าหมายเหยื่อผ่านวิธีการต่างๆ เช่น:
- การโฆษณาแบบมัลแวร์และฟิชชิง : การใช้โฆษณาที่หลอกลวงและฟิชชิงแบบกำหนดเป้าหมายเพื่อดักจับเหยื่อ
- การใช้ประโยชน์จากช่องโหว่ : การใช้ประโยชน์จากช่องโหว่แบบ zero-day และไดรเวอร์ที่มีช่องโหว่เพื่อข้ามโปรโตคอลความปลอดภัย
- กลวิธีหลอกลวงออนไลน์ : ปลอมตัวเป็นมัลแวร์ในโซลูชัน StackOverflow และการตอบสนองต่อปัญหา GitHub
ความสำเร็จอย่างต่อเนื่องของปฏิบัติการดังกล่าวแสดงให้เห็นว่าแม้แต่มาตรการเข้ารหัสที่แข็งแกร่งก็ไม่สามารถหยุดยั้งผู้โจมตีที่มีแรงจูงใจได้เพียงอย่างเดียว Glove Stealer เป็นเครื่องพิสูจน์ถึงธรรมชาติในการปรับตัวของผู้คุกคามที่สามารถใช้ประโยชน์และหลบเลี่ยงการใช้งานความปลอดภัยใหม่ๆ ได้อย่างรวดเร็ว
ถนนข้างหน้า
แม้ว่าการพัฒนาในระยะเริ่มต้นและเทคนิคการหลีกเลี่ยงขั้นพื้นฐานของ Glove Stealer อาจบ่งชี้ถึงผลกระทบในปัจจุบันที่จำกัด แต่การมีอยู่ของมันชี้ให้เห็นถึงแนวโน้มที่กว้างขึ้นของความสามารถของมัลแวร์ที่พัฒนาขึ้น เมื่อภัยคุกคามนี้ยังคงพัฒนาต่อไป อาจใช้วิธีการที่ซับซ้อนมากขึ้นเพื่อขยายขอบเขตและประสิทธิภาพ
การทำความเข้าใจถึงการเกิดขึ้นของภัยคุกคาม เช่น Glove Stealer ถือเป็นสิ่งสำคัญสำหรับผู้เชี่ยวชาญด้านความปลอดภัยทางไซเบอร์ การคอยติดตามข้อมูลและเฝ้าระวัง การอัปเดตการป้องกันปลายทาง และการให้ความรู้ผู้ใช้เกี่ยวกับการระบุกลวิธีฟิชชิ่งและวิศวกรรมสังคม ยังคงเป็นขั้นตอนสำคัญในการป้องกันภัยคุกคามที่เกิดขึ้น
การเดินทางของ Glove Stealer อาจเพิ่งเริ่มต้น แต่ก็พร้อมที่จะท้าทายมาตรการรักษาความปลอดภัยและกระตุ้นให้เกิดนวัตกรรมใหม่ๆ เพิ่มเติมในด้านความปลอดภัยทางไซเบอร์
