Glove Stealer Malware

Glove Stealer 恶意软件是网络威胁领域的最新成员，其特点是能够绕过 Google Chrome 的应用程序绑定 (App-Bound) 加密。网络安全研究人员在一次网络钓鱼活动调查中首次发现了这一威胁，它代表了恶意行为者与安全解决方案之间军备竞赛的关键时刻。

Glove Stealer 的与众不同之处在于其相对简单的构造。它显示出最少的混淆或防御机制，表明它处于早期开发阶段。然而，它的简单性并没有削弱它的潜力。这种恶意软件带来了新的挑战，表明它的进化可能并不遥远。

社会工程学：感染的启动板

部署 Glove Stealer 的感染链依赖于类似于 ClickFix 活动中使用的社会工程策略。受害者被包含模拟错误窗口的欺诈性 HTML 附件的钓鱼电子邮件所诱惑。当用户与这些提示交互时，他们会不知不觉地触发恶意软件的安装过程，为敏感信息的泄露奠定基础。

一旦进入目标系统，Glove Stealer 便会迅速从 Chrome、Edge、Brave、Yandex 和 Opera 等流行浏览器中提取 cookie，从而证明其有效性。其攻击范围不仅限于浏览器，还以 Firefox 用户为目标，展现出其灵活的攻击策略。

多功能数据窃取者

Glove Stealer 的突出特点之一是它能够从各种来源提取数据。该恶意软件擅长收集：

• 浏览器 Cookies：初始数据收集的主要目标，帮助攻击者劫持经过身份验证的会话。
• 加密货币钱包：从浏览器扩展中提取钱包数据，这是数字货币持有者关注的一个重要问题。
• 2FA 令牌：这些令牌针对来自 Google、Microsoft、Aegis 和 LastPass 等身份验证器应用程序的会话，危及重要的安全层。
• 密码数据：窃取存储在密码管理器（如 Bitwarden、KeePass 和 LastPass）中的凭证。
• 电子邮件：危害邮件客户端（尤其是 Thunderbird）以访问敏感通信。

除此之外，Glove Stealer 还瞄准了超过 280 个浏览器扩展和大约 80 个本地安装的应用程序，强调其对加密货币钱包、电子邮件客户端和身份验证工具的关注。

绕过应用程序绑定加密：技术优势

Glove Stealer 最重要的进步之一是它能够绕过 Chrome 的 App-Bound 加密。此安全功能在 Chrome 127 中引入，旨在保护浏览器 cookie 免受未经授权的访问。Glove Stealer 利用特定模块来实现此目的，使用 Chrome 基于 COM 的 IElevator Windows 服务（以 SYSTEM 权限运行）来解密和检索 App-Bound 加密密钥。

然而，这种技术需要受感染系统上的本地管理员权限才能将模块植入 Chrome 的 Program Files 目录中。虽然这带来了最初的障碍，但许多攻击者已经找到了通过漏洞链和社会工程策略绕过这些权限要求的方法。

熟悉的策略，新名称

Glove Stealer 绕过加密的方法并非完全新颖。分析师指出，其方法与 Chrome 首次部署 App-Bound 加密后出现的早期信息窃取程序有相似之处。这凸显了一种趋势：恶意软件开发人员正在改进既定技术以逃避新的安全措施。尽管需要管理员权限，但 Glove Stealer 采用这种绕过方法表明其开发人员旨在使其与更高级的信息收集器相媲美。

威胁形势日益严峻

自 7 月份推出 Chrome 的 App-Bound 加密以来，信息窃取活动的数量并没有明显下降。事实上，攻击变得更加复杂，通过各种方法瞄准受害者，例如：

• 恶意广告和鱼叉式网络钓鱼：利用欺骗性广告和有针对性的网络钓鱼来诱捕受害者。
• 利用漏洞：利用零日漏洞和易受攻击的驱动程序绕过安全协议。
• 欺骗性在线策略：在 StackOverflow 解决方案和 GitHub 问题响应中伪装恶意软件。

此类行动的持续成功表明，即使是强大的加密措施也无法单独阻止有动机的攻击者。手套窃贼证明了威胁行为者的适应性，他们能够快速利用和绕过新的安全实施。

未来之路

虽然 Glove Stealer 的早期开发和基本绕过技术可能表明其目前的影响有限，但它的存在表明恶意软件功能正在不断演变。随着这种威胁的不断发展，它可能会采用更复杂的方法来扩大其影响范围和效力。

了解手套窃贼等威胁的出现对于网络安全专业人员来说至关重要。保持知情和警惕、更新端点防御以及教育用户识别网络钓鱼和社会工程策略仍然是防范新兴威胁的关键步骤。

手套窃贼的旅程也许才刚刚开始，但它将挑战安全措施并推动网络安全的进一步创新。