Glove Stealer Malware

Phần mềm độc hại Glove Stealer là một phần mới được thêm vào bối cảnh các mối đe dọa mạng, đặc biệt là khả năng vượt qua mã hóa Application-Bound (App-Bound) của Google Chrome. Lần đầu tiên được các nhà nghiên cứu an ninh mạng phát hiện trong quá trình điều tra chiến dịch lừa đảo, mối đe dọa này đại diện cho một thời điểm then chốt trong cuộc chạy đua vũ trang giữa các tác nhân độc hại và các giải pháp bảo mật.

Điểm khác biệt của Glove Stealer là cấu trúc tương đối đơn giản của nó. Nó cho thấy sự che giấu tối thiểu hoặc cơ chế phòng thủ, chỉ ra giai đoạn phát triển ban đầu. Tuy nhiên, tính đơn giản của nó không làm giảm tiềm năng của nó. Phần mềm độc hại này mang đến một thách thức mới, báo hiệu sự tiến hóa của nó có thể không còn xa nữa.

Kỹ thuật xã hội: Bệ phóng cho sự lây nhiễm

Chuỗi lây nhiễm triển khai Glove Stealer phụ thuộc vào các chiến thuật kỹ thuật xã hội gợi nhớ đến những chiến thuật được sử dụng trong các chiến dịch ClickFix. Nạn nhân bị dụ qua các email lừa đảo có chứa tệp đính kèm HTML gian lận mô phỏng các cửa sổ lỗi. Khi người dùng tương tác với các lời nhắc này, họ vô tình kích hoạt quá trình cài đặt phần mềm độc hại, tạo tiền đề cho việc rò rỉ thông tin nhạy cảm.

Khi đã xâm nhập vào hệ thống mục tiêu, Glove Stealer chứng minh tính hiệu quả của nó bằng cách nhanh chóng trích xuất cookie từ các trình duyệt phổ biến, bao gồm Chrome, Edge, Brave, Yandex và Opera. Phạm vi của nó vượt ra ngoài các trình duyệt, vì nó cũng nhắm vào người dùng Firefox, thể hiện chiến lược tấn công linh hoạt.

Một kẻ đánh cắp dữ liệu đa năng

Một trong những tính năng nổi bật của Glove Stealer là khả năng trích xuất dữ liệu từ nhiều nguồn khác nhau. Phần mềm độc hại này rất giỏi trong việc thu thập:

• Cookie của trình duyệt: Mục tiêu chính để thu thập dữ liệu ban đầu, giúp kẻ tấn công chiếm quyền điều khiển các phiên đã xác thực.
• Ví tiền điện tử: Trích xuất dữ liệu ví từ tiện ích mở rộng của trình duyệt, một mối quan tâm đáng kể đối với những người nắm giữ tiền kỹ thuật số.
• Mã thông báo 2FA: Các mã thông báo này nhắm mục tiêu vào các phiên từ các ứng dụng xác thực như Google, Microsoft, Aegis và LastPass, gây nguy hiểm cho lớp bảo mật thiết yếu.
• Dữ liệu mật khẩu: Đánh cắp thông tin đăng nhập được lưu trữ trong các trình quản lý mật khẩu như Bitwarden, KeePass và LastPass.
• Email: Gây nguy hiểm cho các ứng dụng email, đặc biệt là Thunderbird, để truy cập vào các thông tin liên lạc nhạy cảm.

Ngoài ra, Glove Stealer còn nhắm mục tiêu vào hơn 280 tiện ích mở rộng của trình duyệt và khoảng 80 ứng dụng được cài đặt cục bộ, tập trung vào ví tiền điện tử, ứng dụng email và công cụ xác thực.

Bỏ qua mã hóa liên kết ứng dụng: Lợi thế kỹ thuật

Một trong những tiến bộ quan trọng nhất của Glove Stealer là khả năng bỏ qua mã hóa App-Bound của Chrome. Được giới thiệu trong Chrome 127, tính năng bảo mật này được thiết kế để bảo vệ cookie của trình duyệt khỏi truy cập trái phép. Glove Stealer tận dụng một mô-đun cụ thể để đạt được điều này, sử dụng dịch vụ IElevator Windows dựa trên COM của Chrome, hoạt động với các đặc quyền SYSTEM, để giải mã và truy xuất các khóa được mã hóa App-Bound.

Tuy nhiên, kỹ thuật này yêu cầu quyền quản trị cục bộ trên hệ thống bị xâm phạm để cài đặt mô-đun trong thư mục Program Files của Chrome. Mặc dù đây là rào cản ban đầu, nhiều kẻ tấn công đã tìm ra cách để bỏ qua các yêu cầu đặc quyền này thông qua chuỗi khai thác và chiến thuật kỹ thuật xã hội.

Một chiến lược quen thuộc với tên gọi mới

Phương pháp mà Glove Stealer sử dụng để bỏ qua mã hóa không hoàn toàn mới. Các nhà phân tích đã lưu ý những điểm tương đồng giữa cách tiếp cận của nó và những cách tiếp cận được thấy trong các trình đánh cắp thông tin trước đó xuất hiện sau khi Chrome lần đầu triển khai mã hóa App-Bound. Điều này nhấn mạnh một xu hướng: các nhà phát triển phần mềm độc hại đang cải tiến các kỹ thuật đã có để tránh các biện pháp bảo mật mới. Mặc dù yêu cầu quyền quản trị, việc Glove Stealer áp dụng cách bỏ qua này báo hiệu rằng các nhà phát triển của nó có mục đích đưa nó ngang hàng với các trình thu thập thông tin tiên tiến hơn.

Một bối cảnh đe dọa ngày càng gia tăng

Kể từ khi giới thiệu mã hóa App-Bound của Chrome vào tháng 7, không có sự suy giảm đáng kể nào về khối lượng các chiến dịch đánh cắp thông tin. Trên thực tế, các cuộc tấn công đã trở nên tinh vi hơn, nhắm vào nạn nhân thông qua nhiều phương pháp khác nhau như:

• Quảng cáo độc hại và lừa đảo qua thư điện tử : Tận dụng quảng cáo lừa đảo và lừa đảo có chủ đích để bẫy nạn nhân.
• Khai thác lỗ hổng : Sử dụng lỗ hổng zero-day và trình điều khiển dễ bị tấn công để vượt qua các giao thức bảo mật.
• Chiến thuật lừa đảo trực tuyến : Ngụy trang phần mềm độc hại trong các giải pháp StackOverflow và phản hồi sự cố của GitHub.

Sự thành công liên tục của các hoạt động như vậy chứng minh rằng ngay cả các biện pháp mã hóa mạnh mẽ cũng không thể ngăn chặn được những kẻ tấn công có động cơ. Glove Stealer là minh chứng cho bản chất thích ứng của những kẻ đe dọa nhanh chóng khai thác và bỏ qua các triển khai bảo mật mới.

Con Đường Phía Trước

Trong khi quá trình phát triển ban đầu của Glove Stealer và các kỹ thuật bỏ qua cơ bản có thể cho thấy tác động hiện tại hạn chế, sự tồn tại của nó chỉ ra xu hướng rộng hơn về khả năng phát triển phần mềm độc hại. Khi mối đe dọa này tiếp tục phát triển, nó có thể kết hợp các phương pháp tinh vi hơn để mở rộng phạm vi và hiệu quả của nó.

Hiểu được sự xuất hiện của các mối đe dọa như Glove Stealer là rất quan trọng đối với các chuyên gia an ninh mạng. Luôn cập nhật thông tin và cảnh giác, cập nhật các biện pháp phòng thủ điểm cuối và giáo dục người dùng về cách xác định các chiến thuật lừa đảo và kỹ thuật xã hội vẫn là những bước quan trọng để bảo vệ chống lại các mối đe dọa mới nổi.

Hành trình của Glove Stealer có thể chỉ mới bắt đầu, nhưng nó sẽ thách thức các biện pháp an ninh và thúc đẩy những đổi mới hơn nữa trong an ninh mạng.