Gen Digital 公司的高级恶意软件研究员 Jan Rubín 最近分析发现,一种名为 Glove Stealer 的新型恶意软件是一种针对大量浏览器数据和本地安装的应用程序的强力信息窃取程序。Glove Stealer 使用 .NET 编写,它采用了一种专注于渗出敏感数据的方法,包括 Cookie、自动填充数据、加密货币钱包和 2FA 身份验证器。
Glove Stealer 严重依赖社交工程策略进行传播。它经常以一种看似有用的工具(如 ClickFix)出现在网络钓鱼活动中,诱使用户以为自己正在排除系统故障。Rubín 解释说:“诸如此类的策略会欺骗用户,让他们以为是在帮助自己,但按照攻击者的指示操作,他们实际上是在无意中感染了自己的设备。”
网络钓鱼邮件通常包含一个模仿虚假错误信息的 HTML 附件,提示用户通过 PowerShell 或运行提示执行恶意脚本。恶意软件本身以编码有效载荷的形式从服务器下载,并最终在服务器上进行数据窃取操作。
Glove Stealer 更为先进的功能之一是能够绕过谷歌 Chrome 浏览器的应用绑定加密(Chrome 浏览器 127 版引入)。为了实现这一功能,Glove Stealer 使用了一个利用 IElevator 服务的专用模块,这是 2024 年 10 月公开披露的一种方法。这种绕过方法允许 Glove Stealer 访问原本受保护的 Chrome 浏览器数据,包括 Cookie 和存储的密码。Rubín 解释说:“这种绕过方法涉及使用 IElevator 服务,”使攻击者能够检索对解密受保护信息至关重要的 App-Bound 密钥。
该模块伪装成 zagent.exe,被战略性地放置在 Chrome 浏览器的 “程序文件 ”目录中。这个位置至关重要,因为 App-Bound 加密会验证调用者进程的路径,这意味着 Glove Stealer 必须拥有本地管理员权限才能成功执行该模块。
Glove Stealer 并不局限于 Chrome 浏览器。它还针对其他流行浏览器,如 Firefox、Edge、Brave,甚至 CryptoTab 等专注于加密货币的浏览器。该恶意软件会系统性地终止浏览器进程,然后以有组织的结构收集数据,并将其保存在名为 Cookies、Autofill、OTP 和 Wallets 的文件夹中。通过这种方法,攻击者可以全面掌握受害者的在线活动和敏感信息。
Glove Stealer 的攻击目标包括加密货币钱包扩展、Google Authenticator 和 LastPass 等 2FA 工具以及 Thunderbird 等电子邮件客户端。
收集数据后,Glove Stealer 会根据受害者最近的文件将其整理到一个唯一的目录路径中,并标记上根据设备名称和序列号生成的 MD5 哈希值。数据收集完成后,将使用 ECB 模式下的 3DES 加密技术对数据进行打包和加密。加密后的数据包会以 Base64 编码文件的形式发送到命令与控制 (C&C) 服务器,为数据外泄过程增加了一层隐蔽性。
Rubín 总结说:“Glove Stealer 能够从 Chrome、Firefox、Edge、Brave 等多种浏览器中窃取各种信息。”
发表评论
您还未登录,请先登录。
登录