グローブスティーラーマルウェア: 巧妙な偽装によるデータ窃盗の新時代
Table of Contents
グローブスティーラーマルウェアの出現
Glove Stealer は、サイバー脅威の世界に新たに加わったもので、綿密に練られたフィッシング キャンペーンを通じて出現し、ソーシャル エンジニアリングの戦術を活用しています。この .NET ベースの情報窃盗は、ユーザーを騙して知らないうちにシステムを侵害するように仕向けます。最近の観察では、悪意のある HTML ページが添付されたフィッシング メールが、Glove Stealer の一般的な配布経路になっています。これらの添付ファイルには、多くの場合、ユーザーにスクリプトを PowerShell ターミナルまたは Windows 実行プロンプトにコピーして貼り付けるように促す偽のエラー メッセージが表示され、感染プロセスが開始されます。
グローブ・スティーラーが侵入する方法
Glove Stealer は、 ClickFixなどの戦術を通じてユーザーの信頼を利用し、システムの問題を解決しているとユーザーに誤解させます。悪意のあるスクリプトが実行されると、コマンド アンド コントロール (C&C) サーバーとの接続が開始され、被害者のシステムへの展開が成功したことが通知されます。この通信プロセスでは、ランダムに生成された一意の文字列と ID マーカーが使用され、攻撃者からのさらなる指示を容易にする接続が確立されます。
グローブスティーラーが何を狙っているのか
Glove Stealer の主な目的は、データの流出です。ブラウザ、アプリケーション、ブラウザ拡張機能に保存されているさまざまな機密情報をターゲットにしています。その影響範囲は、Chrome、Firefox、Edge、Brave などの主要なブラウザにまで及びます。また、このマルウェアはこれらのブラウザに関連付けられているプロセスを高速で終了し、中断することなく保存されたデータに排他的にアクセスできるようにします。
Glove Stealer は、ブラウジング データ以外にも、暗号通貨ウォレット、2FA 認証システム、パスワード管理ツール、さらには電子メール クライアントまで、さまざまなデジタル資産を広範囲に攻撃します。このマルウェアは、インストールされている 80 以上のアプリケーションを精査し、最大 280 のブラウザー拡張機能をスキャンして、Cookie、ログイン認証情報、自動入力データ、OTP トークンなどの貴重な情報を盗み出します。
データ収集と保存の方法論
マルウェアは盗んだデータを体系的にコンパイルして、特定のディレクトリ構造に保存される整理されたテキスト ファイルを作成します。これらのディレクトリは、ユーザーの最近のドキュメント フォルダー パス内にあり、コンピューターの名前とディスクのシリアル番号の組み合わせから生成された MD5 ハッシュがプレフィックスとして付けられます。
ブラウザの自動入力情報、パスワード認証情報、ウォレット データなどの他の種類のデータも同様に指定されたサブフォルダーに保存されます。オペレーティング システム、ユーザー名、言語設定、ハードウェア仕様などのデバイス固有の詳細も収集され、 INFS.txt.
洗練されたバイパス技術
Glove Stealer の注目すべき特徴は、最新のブラウザに備わっている保護手段である App-Bound Encryption をバイパスできることです。IElevator サービスを活用するモジュールを使用することで、Glove Stealer はこれらの暗号化保護手段を回避します。この機能により、攻撃者はブラウザに保存されている本来は保護されているデータにアクセスできるようになります。これは、情報窃取の脅威の高度化における大きな前進です。
流出はどのように起こるのか
データを収集した後、Glove Stealer は ECB モードで 3DES アルゴリズムを使用してデータを暗号化します。暗号化キーはタイムスタンプ値から動的に生成され、MD5 ハッシュによって保護されます。これにより、盗まれたデータ パッケージが傍受された場合でも、対応するキーを持つユーザーのみがそれを復号化できます。データを含む ZIP ファイルは、プレフィックスと同じ MD5 ハッシュを使用して名前が付けられ、最近のドキュメント ディレクトリに配置されます。
攻撃の最終段階では、Base64 でエンコードされた POST リクエストを通じて暗号化されたパッケージを C&C サーバーに送信します。攻撃者がアクセスを維持できるように、復号化キーもデータ ペイロードの一部として送信されます。
ユーザーとデジタルコミュニティ全体への影響
Glove Stealer は難読化が最小限であるためまだ初期段階のように見えますが、広範囲のアプリケーションに侵入してデータを抽出できる能力は、大きな損害をもたらす可能性を示唆しています。暗号通貨ウォレット、パスワード マネージャー、認証ツールが標的となっていることは、金融および個人のセキュリティをより深いレベルで妨害することを目的とした脅威への移行を浮き彫りにしています。
ユーザーにとって、Glove Stealer の存在は、予期しない通信を処理する際に警戒することが重要であることを意味しています。ソーシャル エンジニアリングの戦術は進化を続けており、日常的に行われているように見えるが深刻なセキュリティ侵害につながる欺瞞的なプロンプトを埋め込むことがよくあります。フィッシング攻撃の兆候を認識し、スクリプトの実行を必要とする迷惑な指示を避け、最新のセキュリティ対策を維持することは、このようなリスクを軽減するために重要です。
結論
Glove Stealer は、新しいセキュリティ対策を回避し、ますます多様なターゲットを探し出すように進化するデジタル脅威の適応性を思い起こさせます。現在の形態は単純ですが、マルウェアの範囲は、その影響を増幅させる可能性のある将来の開発の可能性を強調しています。認識、注意、および強力なサイバーセキュリティ対策は、デジタル資産と個人データを新たな脅威から保護するための継続的な取り組みにおいて、依然として不可欠なツールです。
