Malware Glove Stealer: una nuova era di furto di dati con un travestimento intelligente
Table of Contents
L'emergere del malware Glove Stealer
Glove Stealer è un'altra aggiunta al mondo delle minacce informatiche, che emerge attraverso campagne di phishing meticolosamente realizzate e sfruttando tattiche di ingegneria sociale. Questo ladro di informazioni basato su .NET agisce ingannando gli utenti inducendoli a compromettere inconsapevolmente i propri sistemi. In recenti osservazioni, le e-mail di phishing contenenti allegati con pagine HTML dannose sono diventate un canale di distribuzione comune per Glove Stealer. Questi allegati spesso visualizzano falsi messaggi di errore progettati per indurre gli utenti a copiare e incollare script nel terminale PowerShell o nel prompt di Windows Run, avviando così il processo di infezione.
Come il ladro di guanti ottiene l'ingresso
Glove Stealer sfrutta la fiducia degli utenti tramite tattiche come ClickFix , che inducono gli utenti a credere di risolvere problemi di sistema. Una volta eseguito lo script dannoso, avvia il contatto con un server di comando e controllo (C&C), segnalando la distribuzione riuscita sul sistema della vittima. Questo processo di comunicazione utilizza stringhe e marcatori ID univoci e generati casualmente, stabilendo una connessione che facilita ulteriori istruzioni da parte dell'attaccante.
Ciò che il ladro di guanti cerca di raccogliere
L'obiettivo principale di Glove Stealer è l'esfiltrazione dei dati. Prende di mira un'ampia gamma di informazioni sensibili archiviate nei browser, nelle applicazioni e nelle estensioni del browser. La sua portata si estende ai principali browser come Chrome, Firefox, Edge e Brave, tra gli altri. Il malware termina anche i processi associati a questi browser in cicli rapidi, consentendogli di ottenere l'accesso esclusivo ai dati archiviati senza interruzioni.
Oltre ai dati di navigazione, Glove Stealer getta una rete ampia su altre risorse digitali, prendendo di mira wallet di criptovalute, autenticatori 2FA, strumenti di gestione delle password e persino client di posta elettronica. Il malware esamina più di 80 applicazioni installate e analizza fino a 280 estensioni del browser per sottrarre informazioni preziose, tra cui cookie, credenziali di accesso, dati di compilazione automatica e token OTP.
Metodologia di raccolta e archiviazione dei dati
Il malware compila sistematicamente i dati rubati in file di testo organizzati, archiviati in specifiche strutture di directory. Queste directory si trovano all'interno del percorso della cartella dei documenti recenti dell'utente e sono precedute da un hash MD5 derivato da una combinazione del nome del computer e del numero di serie del disco.
Altri tipi di dati, come le informazioni di riempimento automatico del browser, le credenziali della password e i dati del portafoglio, vengono archiviati in sottocartelle designate in modo simile. I dettagli specifici del dispositivo come sistema operativo, nome utente, impostazioni della lingua e specifiche hardware vengono anche raccolti e registrati in un file etichettato INFS.txt.
Una tecnica di bypass sofisticata
Una caratteristica degna di nota di Glove Stealer è la sua capacità di bypassare App-Bound Encryption, una misura protettiva presente nei browser moderni. Utilizzando un modulo che sfrutta il servizio IElevator, Glove Stealer aggira queste misure di sicurezza crittografiche. Questa capacità consente agli aggressori di accedere ai dati archiviati nel browser che altrimenti sarebbero protetti, segnando un significativo passo avanti nella sofisticazione delle minacce di furto di informazioni.
Come avviene l'esfiltrazione
Dopo aver raccolto i dati, Glove Stealer li crittografa utilizzando l'algoritmo 3DES in modalità ECB. La chiave di crittografia viene generata dinamicamente da un valore timestamp e protetta tramite un hash MD5. Ciò garantisce che anche se il pacchetto dati rubato viene intercettato, solo coloro che hanno la chiave corrispondente possono decrittografarlo. Il file ZIP contenente i dati viene inserito nella directory dei documenti recenti, denominato utilizzando lo stesso hash MD5 come prefisso.
La fase finale dell'attacco prevede l'invio del pacchetto crittografato al server C&C tramite una richiesta POST codificata in Base64. La chiave di decifratura viene inviata anche come parte del payload di dati per garantire che gli aggressori ne mantengano l'accesso.
Implicazioni per gli utenti e per la comunità digitale più ampia
Sebbene Glove Stealer possa sembrare nelle sue fasi iniziali a causa di un offuscamento minimo, la sua capacità di infiltrarsi ed estrarre dati da una vasta gamma di applicazioni segnala il suo potenziale per danni sostanziali. L'attacco a wallet di criptovalute, gestori di password e strumenti di autenticazione evidenzia uno spostamento verso minacce mirate a interrompere la sicurezza finanziaria e personale a un livello più profondo.
Per gli utenti, la presenza di Glove Stealer indica l'importanza della vigilanza quando si gestiscono comunicazioni inaspettate. Le tattiche di social engineering continuano a evolversi, spesso incorporando prompt ingannevoli che possono sembrare di routine ma portano a gravi violazioni della sicurezza. Riconoscere i segnali di tentativi di phishing, evitare istruzioni indesiderate che richiedono l'esecuzione di script e mantenere aggiornate le pratiche di sicurezza sono fondamentali per mitigare tali rischi.
Conclusione
Glove Stealer ci ricorda l'adattabilità delle minacce digitali, che si evolvono per aggirare le nuove misure di sicurezza e cercare obiettivi sempre più vari. Sebbene semplice nella sua forma attuale, la portata del malware sottolinea un potenziale di sviluppo futuro che potrebbe amplificarne l'impatto. Consapevolezza, cautela e solide misure di sicurezza informatica rimangono strumenti essenziali nello sforzo continuo di proteggere le risorse digitali e i dati personali dalle minacce emergenti.
