Kesztyűlopó kártevő: Az adatlopás új korszaka ügyes álcával
Table of Contents
A Glove Stealer malware megjelenése
A Glove Stealer egy újabb kiegészítője a kiberfenyegetések világának, amely aprólékosan kidolgozott adathalász kampányokon keresztül bukkan fel, és kihasználja a social engineering taktikákat. Ez a .NET-alapú információlopó úgy működik, hogy megtéveszti a felhasználókat, hogy tudtukon kívül kompromittálják saját rendszereiket. A legutóbbi megfigyelések szerint a rosszindulatú HTML-oldalakat tartalmazó mellékleteket tartalmazó adathalász e-mailek a Glove Stealer általános terjesztési csatornájává váltak. Ezek a mellékletek gyakran hamis hibaüzeneteket jelenítenek meg, amelyek arra kérik a felhasználókat, hogy másolják és illesszék be a szkripteket a PowerShell-termináljukba vagy a Windows Futtatás parancssorába, ezzel elindítva a fertőzési folyamatot.
Hogyan jut be a Glove Stealer?
A Glove Stealer a ClickFix -hez hasonló taktikák révén kamatoztatja a felhasználók bizalmát, ami félrevezeti a felhasználókat, és azt hiszik, hogy megoldják a rendszerproblémákat. A rosszindulatú szkript végrehajtása után kapcsolatba lép egy parancs- és vezérlőkiszolgálóval, jelezve a sikeres telepítést az áldozat rendszerén. Ez a kommunikációs folyamat egyedi, véletlenszerűen generált karakterláncokat és azonosítójelzőket használ, és olyan kapcsolatot hoz létre, amely megkönnyíti a támadó további utasításait.
Mit keres a kesztyűlopó
A Glove Stealer elsődleges célja az adatok kiszűrése. A böngészőkben, alkalmazásokban és böngészőbővítményekben tárolt érzékeny információk széles körét célozza meg. Elérhetősége kiterjed többek között a főbb böngészőkre, mint például a Chrome, a Firefox, az Edge és a Brave. A kártevő gyors ciklusokban leállítja az ezekhez a böngészőkhöz kapcsolódó folyamatokat is, lehetővé téve, hogy megszakítás nélkül, kizárólagos hozzáférést kapjon a tárolt adatokhoz.
Az adatok böngészése mellett a Glove Stealer széles hálót vet ki más digitális eszközökre, célozva a kriptovaluta pénztárcákat, a 2FA hitelesítőket, a jelszókezelő eszközöket és még az e-mail klienseket is. A rosszindulatú program több mint 80 telepített alkalmazást vizsgál át, és akár 280 böngészőbővítményt is átvizsgál, hogy értékes információkat szippantsa át, beleértve a cookie-kat, a bejelentkezési adatokat, az automatikus kitöltési adatokat és az OTP tokeneket.
Adatgyűjtési és tárolási módszertan
A rosszindulatú program szisztematikusan összeállítja az ellopott adatokat meghatározott könyvtárstruktúrákban tárolt, szervezett szövegfájlokká. Ezek a könyvtárak a felhasználó legutóbbi dokumentummappa elérési útjában találhatók, és előtagjuk egy MD5 hash, amely a számítógép nevének és a lemez sorozatszámának kombinációjából származik.
Más típusú adatok, például a böngésző automatikus kitöltési információi, a jelszó hitelesítő adatai és a pénztárca adatai hasonló módon kijelölt almappákban tárolódnak. Az eszközspecifikus részleteket, például az operációs rendszert, a felhasználónevet, a nyelvi beállításokat és a hardverspecifikációkat szintén összegyűjti és naplózza INFS.txt.
Kifinomult bypass technika
A Glove Stealer figyelemre méltó tulajdonsága, hogy képes megkerülni az App-Bound Encryption funkciót, amely a modern böngészőkben megtalálható védelmi intézkedés. Az IElevator szolgáltatást kihasználó modul használatával a Glove Stealer megkerüli ezeket a titkosítási biztosítékokat. Ez a képesség lehetővé teszi a támadók számára, hogy hozzáférjenek a böngészőben tárolt adatokhoz, amelyek egyébként védettek lennének, ami jelentős előrelépést jelent az információlopó fenyegetések kifinomultabbá tételében.
Hogyan történik a kiszűrés
Az adatok összegyűjtése után a Glove Stealer titkosítja azokat a 3DES algoritmus segítségével EKB módban. A titkosítási kulcs dinamikusan generálódik egy időbélyeg értékből, és egy MD5 hash-en keresztül védi. Ez biztosítja, hogy az ellopott adatcsomag elfogása esetén is csak a megfelelő kulccsal rendelkezők tudják visszafejteni. Az adatokat tartalmazó ZIP-fájl a legutóbbi dokumentumok könyvtárába kerül, amelynek elnevezése ugyanazzal az MD5-kivonattal történik, mint az előtag.
A támadás utolsó szakasza a titkosított csomag elküldése a C&C szervernek Base64 kódolású POST kéréssel. A visszafejtési kulcsot az adatforgalom részeként is elküldik, hogy biztosítsák a támadók számára a hozzáférést.
Következmények a felhasználókra és a tágabb digitális közösségre
Míg a Glove Stealer a minimális elhomályosítás miatt a kezdeti szakaszban lehet, a képessége, hogy beszivárogjon és adatokat nyerjen ki az alkalmazások széles skálájából, azt jelzi, hogy jelentős károkat okozhat. A kriptovaluta pénztárcák, a jelszókezelők és a hitelesítési eszközök megcélzása rávilágít a fenyegetések felé történő elmozdulásra, amelyek célja a pénzügyi és személyes biztonság mélyebb megzavarása.
A felhasználók számára a Glove Stealer jelenléte az éberség fontosságát jelzi a váratlan kommunikáció kezelésekor. A social engineering taktikái folyamatosan fejlődnek, gyakran olyan megtévesztő felszólításokat ágyaznak be, amelyek rutinszerűnek tűnnek, de súlyos biztonsági megsértésekhez vezetnek. Az adathalász kísérletek jeleinek felismerése, a parancsfájl-végrehajtást igénylő kéretlen utasítások elkerülése, valamint a naprakész biztonsági gyakorlatok fenntartása kulcsfontosságú az ilyen kockázatok csökkentése szempontjából.
Bottom Line
A Glove Stealer a digitális fenyegetések alkalmazkodóképességére emlékeztet bennünket, amelyek úgy fejlődnek, hogy megkerüljék az újabb biztonsági intézkedéseket, és egyre változatosabb célpontokat keressenek. Bár jelenlegi formájában egyszerű, a rosszindulatú program hatóköre rámutat a jövőbeli fejlesztés lehetőségére, amely felerősítheti a hatását. A tudatosság, az óvatosság és a határozott kiberbiztonsági intézkedések továbbra is alapvető eszközei maradnak a digitális eszközöknek és személyes adatoknak az újonnan felmerülő fenyegetésekkel szembeni védelmére irányuló folyamatban lévő erőfeszítéseknek.
