Glove Stealer Malware: Eine neue Ära des Datendiebstahls mit cleverer Tarnung
Table of Contents
Das Aufkommen der Glove-Stealer-Malware
Glove Stealer ist ein weiterer Neuzugang in der Welt der Cyberbedrohungen. Er taucht durch sorgfältig ausgearbeitete Phishing-Kampagnen auf und nutzt Social-Engineering-Taktiken. Dieser .NET-basierte Informationsdieb operiert, indem er Benutzer dazu verleitet, unwissentlich ihre eigenen Systeme zu kompromittieren. Aktuellen Beobachtungen zufolge sind Phishing-E-Mails mit Anhängen bösartiger HTML-Seiten zu einem gängigen Verbreitungskanal für Glove Stealer geworden. Diese Anhänge zeigen oft gefälschte Fehlermeldungen an, die Benutzer dazu auffordern sollen, Skripts in ihr PowerShell-Terminal oder ihre Windows-Eingabeaufforderung zu kopieren und einzufügen, wodurch der Infektionsprozess eingeleitet wird.
So verschafft sich ein Handschuhdieb Zutritt
Glove Stealer nutzt das Vertrauen der Benutzer durch Taktiken wie ClickFix aus, die den Benutzern vorgaukeln, sie würden Systemprobleme lösen. Sobald das bösartige Skript ausgeführt wird, nimmt es Kontakt mit einem Command-and-Control-Server (C&C) auf und signalisiert so die erfolgreiche Bereitstellung auf dem System des Opfers. Dieser Kommunikationsprozess verwendet eindeutige, zufällig generierte Zeichenfolgen und ID-Markierungen und stellt eine Verbindung her, die weitere Anweisungen des Angreifers ermöglicht.
Was der Handschuhdieb erbeuten möchte
Das Hauptziel von Glove Stealer ist die Datenexfiltration. Es zielt auf eine breite Palette vertraulicher Informationen ab, die in Browsern, Anwendungen und Browsererweiterungen gespeichert sind. Seine Reichweite erstreckt sich unter anderem auf gängige Browser wie Chrome, Firefox, Edge und Brave. Die Malware beendet außerdem in schnellen Zyklen Prozesse, die mit diesen Browsern verbunden sind, und erhält so ohne Unterbrechung exklusiven Zugriff auf die gespeicherten Daten.
Abgesehen von Browserdaten wirft Glove Stealer ein breites Netz über andere digitale Assets aus und zielt auf Kryptowährungs-Wallets, 2FA-Authentifikatoren, Tools zur Passwortverwaltung und sogar E-Mail-Clients ab. Die Malware untersucht mehr als 80 installierte Anwendungen und scannt bis zu 280 Browsererweiterungen, um wertvolle Informationen abzuschöpfen, darunter Cookies, Anmeldeinformationen, AutoFill-Daten und OTP-Token.
Methodik zur Datenerfassung und -speicherung
Die Malware kompiliert die gestohlenen Daten systematisch in organisierte Textdateien, die in bestimmten Verzeichnisstrukturen gespeichert werden. Diese Verzeichnisse befinden sich im Ordnerpfad der zuletzt verwendeten Dokumente des Benutzers und sind mit einem MD5-Hash versehen, der aus einer Kombination des Computernamens und der Festplattenseriennummer abgeleitet ist.
Andere Arten von Daten, wie Informationen zum automatischen Ausfüllen des Browsers, Kennwortanmeldeinformationen und Wallet-Daten, werden in ähnlich bezeichneten Unterordnern gespeichert. Gerätespezifische Details wie Betriebssystem, Benutzername, Spracheinstellungen und Hardwarespezifikationen werden ebenfalls erfasst und in einer Datei mit der Bezeichnung INFS.txt.
Eine ausgefeilte Bypass-Technik
Ein bemerkenswertes Merkmal von Glove Stealer ist seine Fähigkeit, App-Bound Encryption zu umgehen, eine Schutzmaßnahme, die in modernen Browsern zu finden ist. Durch den Einsatz eines Moduls, das den IElevator-Dienst nutzt, umgeht Glove Stealer diese Verschlüsselungssicherungen. Diese Fähigkeit ermöglicht es Angreifern, auf im Browser gespeicherte Daten zuzugreifen, die andernfalls geschützt wären, was einen bedeutenden Fortschritt bei der Weiterentwicklung von Bedrohungen durch Informationsdiebstahl darstellt.
So erfolgt die Exfiltration
Nach dem Sammeln der Daten verschlüsselt Glove Stealer diese mit dem 3DES-Algorithmus im ECB-Modus. Der Verschlüsselungsschlüssel wird dynamisch aus einem Zeitstempelwert generiert und durch einen MD5-Hash gesichert. Dadurch wird sichergestellt, dass selbst wenn das gestohlene Datenpaket abgefangen wird, nur diejenigen mit dem entsprechenden Schlüssel es entschlüsseln können. Die ZIP-Datei mit den Daten wird im Verzeichnis „Zuletzt verwendete Dokumente“ abgelegt und mit demselben MD5-Hash als Präfix benannt.
In der letzten Phase des Angriffs wird das verschlüsselte Paket über eine Base64-codierte POST-Anfrage an den C&C-Server gesendet. Der Entschlüsselungsschlüssel wird ebenfalls als Teil der Datennutzlast gesendet, um sicherzustellen, dass die Angreifer weiterhin darauf zugreifen können.
Auswirkungen auf Benutzer und die breitere digitale Community
Obwohl Glove Stealer aufgrund minimaler Verschleierung noch in den Kinderschuhen steckt, deutet seine Fähigkeit, in eine Vielzahl von Anwendungen einzudringen und Daten daraus zu extrahieren, darauf hin, dass er erheblichen Schaden anrichten kann. Dass Kryptowährungs-Wallets, Passwortmanager und Authentifizierungstools ins Visier genommen werden, zeigt, dass sich die Bedrohungen zunehmend in Richtung der finanziellen und persönlichen Sicherheit auf tieferer Ebene verschieben.
Für Benutzer ist die Präsenz von Glove Stealer ein Zeichen dafür, dass sie bei unerwarteten Nachrichten wachsam sein müssen. Social-Engineering-Taktiken entwickeln sich ständig weiter und enthalten oft irreführende Eingabeaufforderungen, die zwar routinemäßig erscheinen, aber zu schwerwiegenden Sicherheitsverletzungen führen. Um solche Risiken zu minimieren, ist es wichtig, die Anzeichen von Phishing-Versuchen zu erkennen, unerwünschte Anweisungen zu vermeiden, die die Ausführung von Skripten erfordern, und aktuelle Sicherheitspraktiken einzuhalten.
Fazit
Glove Stealer erinnert uns an die Anpassungsfähigkeit digitaler Bedrohungen. Sie entwickeln sich weiter, um neuere Sicherheitsmaßnahmen zu umgehen und immer vielfältigere Ziele zu finden. Obwohl die Malware in ihrer aktuellen Form einfach ist, zeigt ihr Umfang, dass sie sich in Zukunft möglicherweise noch weiter entwickeln und ihre Auswirkungen verstärken könnte. Bewusstsein, Vorsicht und robuste Cybersicherheitsmaßnahmen bleiben wichtige Instrumente im laufenden Bemühen, digitale Vermögenswerte und persönliche Daten vor neuen Bedrohungen zu schützen.
