Glove Stealer Malware

Glove Stealer 惡意軟體是網路威脅領域的新成員，其特點是能夠繞過 Google Chrome 的應用程式綁定 (App-Bound) 加密。這種威脅首先由網路安全研究人員在網路釣魚活動調查中發現，它代表了惡意行為者和安全解決方案之間軍備競賽的關鍵時刻。

Glove Stealer 的與眾不同之處在於其相對簡單的結構。它顯示出最小的混淆或防禦機制，顯示仍處於開發的早期階段。然而，它的簡單性並沒有削弱它的潛力。這種惡意軟體帶來了新的挑戰，表明它的演變可能不會太遠。

社會工程：感染的發射台

部署 Glove Stealer 的感染鏈取決於社會工程策略，讓人想起 ClickFix 活動中使用的策略。受害者被包含模擬錯誤視窗的詐騙 HTML 附件的網路釣魚電子郵件所引誘。當使用者與這些提示互動時，他們會無意中觸發惡意軟體的安裝過程，從而為敏感資訊的洩漏奠定基礎。

一旦進入目標系統，Glove Stealer 就會透過從 Chrome、Edge、Brave、Yandex 和 Opera 等流行瀏覽器中快速提取 cookie 來展示其有效性。它的影響範圍超出了瀏覽器範圍，因為它也針對 Firefox 用戶，展示了一種多功能的攻擊策略。

多功能資料竊取者

Glove Stealer 的突出功能之一是它能夠從大量來源中提取資料。該惡意軟體擅長收集：

• 瀏覽器 Cookie：初始資料收集的主要目標，幫助攻擊者劫持經過驗證的會話。
• 加密貨幣錢包：從瀏覽器擴充功能中提取錢包數據，這是數位貨幣持有者最關心的問題。
• 2FA 令牌：這些令牌針對來自 Google、Microsoft、Aegis 和 LastPass 等驗證應用程式的會話，危及重要的安全層。
• 密碼資料：儲存在 Bitwarden、KeePass 和 LastPass 等密碼管理器中的竊取憑證。
• 電子郵件：危害郵件用戶端（尤其是 Thunderbird）以存取敏感通訊。

除此之外，Glove Stealer 還針對 280 多個瀏覽器擴充功能和大約 80 個本地安裝的應用程序，強調其對加密貨幣錢包、電子郵件用戶端和身份驗證工具的關注。

繞過應用程式綁定的加密：技術優勢

Glove Stealer 最重要的進步之一是它能夠繞過 Chrome 的應用程式綁定加密。此安全功能在 Chrome 127 中引入，旨在保護瀏覽器 cookie 免遭未經授權的存取。 Glove Stealer 利用特定模組來實現此目的，使用 Chrome 的基於 COM 的 IElevator Windows 服務（該服務以系統權限運行）來解密和檢索應用程式綁定的加密金鑰。

然而，這種技術需要受感染系統的本機管理員權限才能將該模組植入 Chrome 的 Program Files 目錄中。雖然這帶來了最初的障礙，但許多攻擊者已經找到了透過漏洞利用鍊和社會工程策略來繞過這些特權要求的方法。

熟悉的策略加上新的名稱

手套竊取者用來繞過加密的方法並不完全新穎。分析師指出，其方法與 Chrome 首次部署應用程式綁定加密後出現的早期資訊竊取程式有相似之處。這凸顯了一種趨勢：惡意軟體開發人員改進現有技術以逃避新的安全措施。儘管需要管理員權限，Glove Stealer 採用這種繞過方式表明其開發人員的目標是使其與更高級的資訊收集器保持一致。

不斷增長的威脅情勢

自 7 月推出 Chrome 的應用程式綁定加密以來，資訊竊取活動的數量並沒有顯著下降。事實上，攻擊變得更加複雜，透過多種方法針對受害者，例如：

• 惡意廣告和魚叉式網路釣魚：利用欺騙性廣告和有針對性的網路釣魚來誘騙受害者。
• 利用漏洞：使用零時差漏洞和易受攻擊的驅動程式來繞過安全協定。
• 欺騙性線上策略：在 StackOverflow 解決方案和 GitHub 問題回應中偽裝惡意軟體。

此類操作的持續成功表明，即使是強大的加密措施也無法單獨阻止有動機的攻擊者。 Glove Stealer 證明了威脅行為者的適應性，他們可以快速利用並繞過新的安全實施。

未來之路

雖然 Glove Stealer 的早期開發和基本繞過技術可能表明當前影響有限，但它的存在表明惡意軟體功能不斷發展的更廣泛趨勢。隨著這種威脅的不斷發展，它可能會採用更複雜的方法來擴大其影響範圍和有效性。

了解手套盜竊者等威脅的出現對於網路安全專業人員至關重要。保持知情和警惕、更新端點防禦以及教育用戶識別網路釣魚和社會工程策略仍然是防範新興威脅的關鍵步驟。

Glove Stealer 的旅程可能才剛開始，但它已準備好挑戰安全措施並推動網路安全的進一步創新。