Зловмисне програмне забезпечення Glove Stealer

Зловмисне програмне забезпечення Glove Stealer — це нещодавнє доповнення до ландшафту кіберзагроз, яке вирізняється здатністю обходити шифрування, пов’язане з додатком (App-Bound) Google Chrome. Вперше виявлена дослідниками кібербезпеки під час розслідування фішингової кампанії, ця загроза є ключовим моментом у гонці озброєнь між зловмисниками та рішеннями безпеки.

Що відрізняє Glove Stealer, так це його відносно проста конструкція. Він демонструє мінімальну обфускацію або захисні механізми, що вказує на ранню стадію розвитку. Однак його простота не підриває його потенціал. Це зловмисне програмне забезпечення кидає новий виклик, сигналізуючи про те, що його еволюція не відстає.

Соціальна інженерія: стартовий майданчик для зараження

Ланцюжок зараження, який розгортає Glove Stealer, базується на тактиці соціальної інженерії, що нагадує тактику кампанії ClickFix. Жертв заманюють за допомогою фішингових електронних листів, які містять шахрайські вкладення HTML, які імітують вікна помилок. Коли користувачі взаємодіють із цими підказками, вони мимоволі запускають процес встановлення зловмисного програмного забезпечення, готуючи основу для викрадання конфіденційної інформації.

Потрапивши в цільову систему, Glove Stealer демонструє свою ефективність, швидко витягуючи файли cookie з популярних браузерів, включаючи Chrome, Edge, Brave, Yandex і Opera. Його охоплення виходить за межі браузерів, оскільки він також націлений на користувачів Firefox, демонструючи універсальну стратегію атаки.

Універсальний викрадач даних

Однією з видатних особливостей Glove Stealer є його здатність отримувати дані з великої кількості джерел. Зловмисне програмне забезпечення вміло збирає:

• Файли cookie веб-переглядача: основна ціль для початкового збору даних, що допомагає зловмисникам викрасти автентифіковані сеанси.
• Криптовалютні гаманці: витягує дані гаманця з розширень браузера, що є серйозною проблемою для власників цифрової валюти.
• Токени 2FA: ці токени націлені на сеанси програм автентифікації, таких як Google, Microsoft, Aegis і LastPass, ставлячи під загрозу важливий рівень безпеки.
• Дані пароля: облікові дані Pilfers зберігаються в таких менеджерах паролів, як Bitwarden, KeePass і LastPass.
• Електронні листи: компрометує поштові клієнти, зокрема Thunderbird, для доступу до конфіденційних повідомлень.

Крім цього, Glove Stealer націлено на понад 280 розширень браузера та приблизно 80 локально встановлених програм, акцентуючи увагу на криптовалютних гаманцях, клієнтах електронної пошти та інструментах автентифікації.

Обхід шифрування, пов’язаного з програмою: технічна перевага

Одним із найважливіших досягнень Glove Stealer є його здатність обходити шифрування, пов’язане з програмою Chrome. Цю функцію безпеки, представлену в Chrome 127, було розроблено для захисту файлів cookie веб-переглядача від несанкціонованого доступу. Glove Stealer використовує спеціальний модуль для досягнення цієї мети, використовуючи службу Windows IElevator Chrome на основі COM, яка працює з правами SYSTEM, для розшифровки та отримання зашифрованих ключів, пов’язаних із програмою.

Однак ця методика вимагає прав локального адміністратора зламаної системи, щоб розмістити модуль у каталозі Program Files Chrome. Хоча це є початковою перешкодою, багато зловмисників знайшли способи обійти ці вимоги до привілеїв за допомогою ланцюжків експлойтів і тактик соціальної інженерії.

Знайома стратегія з новою назвою

Метод, який Glove Stealer використовує для обходу шифрування, не зовсім новий. Аналітики помітили схожість між його підходом і тим, що спостерігали в попередніх викрадачах інформації, які з’явилися після того, як Chrome вперше застосував шифрування App-Bound. Це підкреслює тенденцію: розробники зловмисного програмного забезпечення вдосконалюють усталені методи, щоб уникнути нових заходів безпеки. Незважаючи на те, що Glove Stealer вимагає прав адміністратора, використання цього обходу сигналізує про те, що його розробники прагнуть вирівняти його з більш просунутими збирачами інформації.

Пейзаж зростаючої загрози

Відтоді як у липні в Chrome було запроваджено шифрування, пов’язане з додатком, не спостерігалося значного зниження обсягу кампаній із крадіжки інформації. Насправді атаки стали більш витонченими, націлюючись на жертв за допомогою різних методів, таких як:

• Шкідлива реклама та підводний фішинг : використання оманливої реклами та цілеспрямованого фішингу для захоплення жертв.
• Використання вразливостей : використання експлойтів нульового дня та вразливих драйверів для обходу протоколів безпеки.
• Оманлива онлайн-тактика : маскування зловмисного програмного забезпечення в рішеннях StackOverflow і відповідях на проблеми GitHub.

Постійний успіх таких операцій демонструє, що навіть надійні засоби шифрування не можуть стримати вмотивованих зловмисників. Glove Stealer є свідченням адаптивної природи загрозливих акторів, які швидко використовують і обходять нові впровадження безпеки.

Дорога вперед

Хоча рання стадія розробки Glove Stealer і основні методи обходу можуть свідчити про обмежений поточний вплив, його існування вказує на ширшу тенденцію розвитку можливостей зловмисного програмного забезпечення. Оскільки ця загроза продовжує розвиватися, вона може включати більш складні методи для розширення охоплення та ефективності.

Розуміння появи таких загроз, як Glove Stealer, має вирішальне значення для фахівців з кібербезпеки. Бути поінформованим і бути пильним, оновлювати засоби захисту кінцевих точок і навчати користувачів виявляти фішинг і тактику соціальної інженерії залишаються важливими кроками для захисту від нових загроз.

Можливо, шлях Glove Stealer тільки почався, але він готовий кинути виклик заходам безпеки та спонукати до подальших інновацій у сфері кібербезпеки.