„Glove Stealer“ kenkėjiška programa: nauja duomenų vagystės era su sumaniu užmaskavimu
Table of Contents
„Glove Stealer“ kenkėjiškų programų atsiradimas
„Glove Stealer“ yra dar vienas kibernetinių grėsmių pasaulio papildymas, atsirandantis per kruopščiai parengtas sukčiavimo kampanijas ir pasinaudojant socialinės inžinerijos taktika. Šis .NET pagrindu veikiantis informacijos vagis apgaudinėja vartotojus, kad jie nesąmoningai sukompromituotų savo sistemas. Pastaruoju metu pastebėta, kad sukčiavimo el. laiškai su priedais su kenksmingais HTML puslapiais tapo įprastu Glove Stealer platinimo kanalu. Šiuose prieduose dažnai rodomi netikri klaidų pranešimai, skirti paskatinti vartotojus nukopijuoti ir įklijuoti scenarijus į savo „PowerShell“ terminalą arba „Windows Run“ raginimą, taip inicijuojant užkrėtimo procesą.
Kaip „Glove Stealer“ patenka į rinką
„Glove Stealer“ išnaudoja vartotojų pasitikėjimą naudodama tokias taktikas kaip „ClickFix“ , kuri suklaidina vartotojus manydama, kad jie išsprendžia sistemos problemas. Kai kenkėjiškas scenarijus yra vykdomas, jis užmezga ryšį su komandų ir valdymo (C&C) serveriu, pranešdamas apie sėkmingą diegimą aukos sistemoje. Šiame komunikacijos procese naudojamos unikalios, atsitiktinai sugeneruotos eilutės ir ID žymekliai, užmezgant ryšį, kuris palengvina tolesnius užpuoliko nurodymus.
Ko pirštinių vagis siekia nuimti derlių
„Glove Stealer“ pagrindinis tikslas yra duomenų išfiltravimas. Tai taikoma įvairiai slaptai informacijai, saugomai naršyklėse, programose ir naršyklės plėtiniuose. Jo pasiekiamumas apima pagrindines naršykles, tokias kaip „Chrome“, „Firefox“, „Edge“ ir „Brave“. Kenkėjiška programa taip pat greitai nutraukia procesus, susijusius su šiomis naršyklėmis, leisdama jai gauti išskirtinę prieigą prie saugomų duomenų be pertrūkių.
Be duomenų naršymo, „Glove Stealer“ išmeta platų tinklą prieš kitus skaitmeninius išteklius, taikydamas kriptovaliutų pinigines, 2FA autentifikavimo priemones, slaptažodžių valdymo įrankius ir net el. pašto programas. Kenkėjiška programa patikrina daugiau nei 80 įdiegtų programų ir nuskaito iki 280 naršyklės plėtinių, kad gautų vertingos informacijos, įskaitant slapukus, prisijungimo kredencialus, automatinio pildymo duomenis ir OTP prieigos raktus.
Duomenų rinkimo ir saugojimo metodika
Kenkėjiška programa sistemingai kaupia pavogtus duomenis į sutvarkytus tekstinius failus, saugomus konkrečiose katalogų struktūrose. Šie katalogai yra naudotojo paskutiniame dokumento aplanko kelyje ir yra su MD5 maiša, gaunama iš kompiuterio pavadinimo ir disko serijos numerio derinio.
Kitų tipų duomenys, pvz., naršyklės automatinio pildymo informacija, slaptažodžio kredencialai ir piniginės duomenys, saugomi panašiai paskirtuose poaplankiuose. Informacija apie įrenginį, pvz., operacinė sistema, vartotojo vardas, kalbos nustatymai ir techninės įrangos specifikacijos, taip pat renkama ir registruojama faile, pažymėtame INFS.txt.
Sudėtinga aplinkkelio technika
Ypatinga „Glove Stealer“ savybė yra galimybė apeiti „App-Bound Encryption“ – apsaugos priemonę, randamą šiuolaikinėse naršyklėse. Naudodamas modulį, kuris naudoja IElevator paslaugą, Glove Stealer apeina šias šifravimo priemones. Ši galimybė leidžia užpuolikams pasiekti naršyklėje saugomus duomenis, kurie kitu atveju būtų apsaugoti, o tai žymi reikšmingą žingsnį į priekį tobulinant informacijos vagystės grėsmes.
Kaip vyksta eksfiltracija
Surinkęs duomenis, Glove Stealer juos užšifruoja naudodamas 3DES algoritmą ECB režimu. Šifravimo raktas dinamiškai generuojamas iš laiko žymos vertės ir apsaugotas naudojant MD5 maišą. Tai užtikrina, kad net perėmus pavogtą duomenų paketą, jį iššifruoti gali tik tie, kurie turi atitinkamą raktą. ZIP failas su duomenimis patalpinamas į naujausių dokumentų katalogą, pavadintą naudojant tą pačią MD5 maišą kaip priešdėlis.
Paskutinis atakos etapas apima užšifruoto paketo siuntimą į C&C serverį naudojant Base64 koduotą POST užklausą. Iššifravimo raktas taip pat siunčiamas kaip naudingo duomenų kiekio dalis, siekiant užtikrinti, kad užpuolikai galėtų prieiti prie jo.
Poveikis vartotojams ir platesnei skaitmeninei bendruomenei
Nors Glove Stealer gali pasirodyti pradiniame etape dėl minimalaus užtemimo, jo gebėjimas įsiskverbti ir išgauti duomenis iš daugybės programų rodo, kad gali būti padaryta didelė žala. Nukreipimas į kriptovaliutų pinigines, slaptažodžių tvarkykles ir autentifikavimo įrankius pabrėžia perėjimą prie grėsmių, kurių tikslas – giliau sutrikdyti finansinį ir asmeninį saugumą.
Vartotojams Glove Stealer buvimas reiškia budrumo svarbą tvarkant netikėtus ryšius. Socialinės inžinerijos taktika ir toliau vystosi, dažnai įterpdama apgaulingus raginimus, kurie gali atrodyti įprasti, tačiau gali sukelti rimtų saugumo pažeidimų. Norint sumažinti tokią riziką, labai svarbu atpažinti sukčiavimo bandymų požymius, vengti nepageidaujamų instrukcijų, reikalaujančių scenarijaus vykdymo, ir laikytis atnaujintos saugos praktikos.
Apatinė eilutė
„Glove Stealer“ primena mums apie skaitmeninių grėsmių pritaikomumą, kuri vystosi siekiant apeiti naujesnes saugumo priemones ir ieškoti vis įvairesnių tikslų. Nors dabartine forma ji yra paprasta, kenkėjiškos programos taikymo sritis pabrėžia būsimos plėtros potencialą, galintį sustiprinti jos poveikį. Sąmoningumas, atsargumas ir patikimos kibernetinio saugumo priemonės tebėra pagrindinės priemonės, nuolat stengiantis apsaugoti skaitmeninį turtą ir asmens duomenis nuo naujų grėsmių.
