Вредоносное ПО для кражи перчаток: новая эра кражи данных с помощью хитрой маскировки
Table of Contents
Появление вредоносного ПО для кражи перчаток
Glove Stealer — еще одно дополнение к миру киберугроз, всплывающее через тщательно продуманные фишинговые кампании и использующее тактику социальной инженерии. Этот .NET-ориентированный похититель информации действует, обманывая пользователей, неосознанно подвергая риску их собственные системы. Согласно последним наблюдениям, фишинговые письма, содержащие вложения с вредоносными HTML-страницами, стали распространенным каналом распространения Glove Stealer. Эти вложения часто отображают поддельные сообщения об ошибках, призванные побудить пользователей копировать и вставлять скрипты в свой терминал PowerShell или в командную строку Windows Run, тем самым инициируя процесс заражения.
Как похититель перчаток получает доступ
Glove Stealer извлекает выгоду из доверия пользователей с помощью тактики вроде ClickFix , которая вводит пользователей в заблуждение, заставляя их поверить, что они решают системные проблемы. После выполнения вредоносного скрипта он инициирует контакт с сервером управления и контроля (C&C), сигнализируя об успешном развертывании в системе жертвы. Этот процесс связи использует уникальные, случайно сгенерированные строки и маркеры идентификаторов, устанавливая соединение, которое облегчает дальнейшие инструкции от злоумышленника.
Что хочет получить похититель перчаток
Основная цель Glove Stealer — эксфильтрация данных. Он нацелен на широкий спектр конфиденциальной информации, хранящейся в браузерах, приложениях и расширениях браузеров. Его сфера действия распространяется на основные браузеры, такие как Chrome, Firefox, Edge и Brave, среди прочих. Вредоносная программа также завершает процессы, связанные с этими браузерами, в быстрых циклах, что позволяет ей получать эксклюзивный доступ к хранимым данным без прерывания.
Помимо просмотра данных, Glove Stealer закидывает широкую сеть на другие цифровые активы, нацеливаясь на криптовалютные кошельки, аутентификаторы 2FA, инструменты управления паролями и даже почтовые клиенты. Вредоносная программа проверяет более 80 установленных приложений и сканирует до 280 расширений браузера, чтобы выкачать ценную информацию, включая файлы cookie, учетные данные для входа, данные автозаполнения и токены OTP.
Методология сбора и хранения данных
Вредоносная программа систематически компилирует украденные данные в организованные текстовые файлы, хранящиеся в определенных структурах каталогов. Эти каталоги находятся в пути к папке недавних документов пользователя и имеют префикс MD5-хеша, полученного из комбинации имени компьютера и серийного номера диска.
Другие типы данных, такие как информация автозаполнения браузера, учетные данные пароля и данные кошелька, хранятся в подпапках с аналогичными обозначениями. Специфические для устройства данные, такие как операционная система, имя пользователя, языковые настройки и характеристики оборудования, также собираются и регистрируются в файле с меткой INFS.txt.
Сложная техника обхода
Примечательной особенностью Glove Stealer является его способность обходить App-Bound Encryption, защитную меру, имеющуюся в современных браузерах. Используя модуль, который использует службу IElevator, Glove Stealer обходит эти средства защиты шифрования. Эта возможность позволяет злоумышленникам получать доступ к хранящимся в браузере данным, которые в противном случае были бы защищены, что является значительным шагом вперед в изощренности угроз кражи информации.
Как происходит эксфильтрация
После сбора данных Glove Stealer шифрует их с помощью алгоритма 3DES в режиме ECB. Ключ шифрования динамически генерируется из значения временной метки и защищается хэшем MD5. Это гарантирует, что даже если украденный пакет данных будет перехвачен, расшифровать его смогут только те, у кого есть соответствующий ключ. ZIP-файл, содержащий данные, помещается в каталог последних документов, названный с использованием того же хеша MD5, что и префикс.
Заключительный этап атаки включает отправку зашифрованного пакета на сервер C&C через запрос POST, закодированный в Base64. Ключ расшифровки также отправляется как часть полезной нагрузки данных, чтобы гарантировать, что злоумышленники сохранят к нему доступ.
Последствия для пользователей и цифрового сообщества в целом
Хотя Glove Stealer может показаться находящимся на ранней стадии из-за минимальной обфускации, его способность проникать и извлекать данные из широкого спектра приложений указывает на его потенциал для существенного ущерба. Нацеливание на криптовалютные кошельки, менеджеры паролей и инструменты аутентификации подчеркивает сдвиг в сторону угроз, направленных на нарушение финансовой и личной безопасности на более глубоком уровне.
Для пользователей наличие Glove Stealer означает важность бдительности при работе с неожиданными сообщениями. Тактика социальной инженерии продолжает развиваться, часто внедряя обманные подсказки, которые могут показаться обычными, но приводят к серьезным нарушениям безопасности. Распознавание признаков попыток фишинга, избегание нежелательных инструкций, требующих выполнения скрипта, и поддержание обновленных методов безопасности имеют решающее значение для снижения таких рисков.
Итог
Glove Stealer напоминает нам об адаптивности цифровых угроз, которые эволюционируют, чтобы обходить новые меры безопасности и искать все более разнообразные цели. Несмотря на простоту в своей нынешней форме, масштаб вредоносного ПО подчеркивает потенциал для будущего развития, которое может усилить его воздействие. Осведомленность, осторожность и надежные меры кибербезопасности остаются важнейшими инструментами в продолжающихся усилиях по защите цифровых активов и персональных данных от новых угроз.
