手套窃取恶意软件：巧妙伪装的数据窃取新时代

手套窃取恶意软件的出现

Glove Stealer 是网络威胁领域的又一新成员，它通过精心策划的网络钓鱼活动和利用社会工程策略出现。这种基于 .NET 的信息窃取程序通过欺骗用户在不知情的情况下危害自己的系统来运作。根据最近的观察，包含带有恶意 HTML 页面附件的网络钓鱼电子邮件已成为 Glove Stealer 的常见分发渠道。这些附件通常会显示虚假的错误消息，旨在提示用户将脚本复制并粘贴到他们的 PowerShell 终端或 Windows 运行提示符中，从而启动感染过程。

手套窃贼如何入场

Glove Stealer 通过ClickFix等策略利用用户的信任，误导用户相信他们正在解决系统问题。一旦执行恶意脚本，它就会启动与命令和控制 (C&C) 服务器的联系，表示已成功部署到受害者的系统上。此通信过程使用唯一的随机生成的字符串和 ID 标记，建立连接以方便攻击者进一步发出指令。

手套窃贼想要得到什么

Glove Stealer 的主要目标是数据泄露。它的目标是存储在浏览器、应用程序和浏览器扩展中的各种敏感信息。其范围扩展到 Chrome、Firefox、Edge 和 Brave 等主流浏览器。该恶意软件还会快速终止与这些浏览器相关的进程，从而使其能够不间断地独占访问存储的数据。

除了浏览数据外，Glove Stealer 还广泛攻击其他数字资产，目标是加密货币钱包、2FA 身份验证器、密码管理工具甚至电子邮件客户端。该恶意软件会仔细检查 80 多个已安装的应用程序，并扫描多达 280 个浏览器扩展程序，以窃取有价值的信息，包括 cookie、登录凭据、自动填充数据和 OTP 令牌。

数据收集和存储方法

该恶意软件会系统地将窃取的数据编译成有组织的文本文件，并存储在特定的目录结构中。这些目录位于用户最近的文档文件夹路径中，并以计算机名称和磁盘序列号组合得出的 MD5 哈希作为前缀。
其他类型的数据（例如浏览器自动填充信息、密码凭据和钱包数据）也存储在类似指定的子文件夹中。设备特定的详细信息（例如操作系统、用户名、语言设置和硬件规格）也会被收集并记录在名为INFS.txt.

复杂的绕过技术

Glove Stealer 的一个显著特点是它能够绕过应用程序绑定加密，这是现代浏览器中的一种保护措施。通过使用利用 IElevator 服务的模块，Glove Stealer 可以绕过这些加密保护措施。此功能允许攻击者访问浏览器存储的、原本受保护的数据，标志着信息窃取威胁的复杂性向前迈出了重要一步。

数据泄露是如何发生的

收集数据后，Glove Stealer 使用 ECB 模式的 3DES 算法对其进行加密。加密密钥是根据时间戳值动态生成的，并通过 MD5 哈希进行保护。这确保即使被盗数据包被拦截，也只有拥有相应密钥的人才能解密。包含数据的 ZIP 文件放置在最近的文档目录中，使用相同的 MD5 哈希作为前缀命名。

攻击的最后阶段是通过 Base64 编码的 POST 请求将加密包发送到 C&C 服务器。解密密钥也作为数据有效负载的一部分发送，以确保攻击者能够访问它。

对用户和更广泛的数字社区的影响

虽然由于混淆程度较低，Glove Stealer 似乎处于早期阶段，但它能够渗透和提取大量应用程序的数据，这表明它可能会造成巨大破坏。加密货币钱包、密码管理器和身份验证工具成为攻击目标，这凸显了威胁的转向，目的是从更深层次上破坏金融和个人安全。

对于用户来说，Glove Stealer 的存在意味着在处理意外通信时保持警惕的重要性。社交工程策略不断发展，经常嵌入看似常规但会导致严重安全漏洞的欺骗性提示。识别网络钓鱼企图的迹象、避免需要执行脚本的未经请求的指令以及保持更新的安全实践对于减轻此类风险至关重要。

结论

Glove Stealer 提醒我们数字威胁的适应性，它会不断演变以绕过较新的安全措施并寻找越来越多样化的目标。尽管目前的形式很简单，但该恶意软件的范围凸显了未来发展的可能性，这可能会扩大其影响。在持续保护数字资产和个人数据免受新兴威胁方面，意识、谨慎和强大的网络安全措施仍然是必不可少工具。