Glove Stealer 惡意軟體：巧妙偽裝的資料竊取新時代

手套竊盜者惡意軟體的出現

Glove Stealer 是網路威脅世界的另一個新成員，它透過精心設計的網路釣魚活動和利用社會工程策略而出現。這種基於 .NET 的資訊竊取程式透過欺騙使用者在不知不覺中損害自己的系統來進行操作。根據最近的觀察，包含惡意 HTML 頁面附件的網路釣魚電子郵件已成為 Glove Stealer 的常見分發管道。這些附件通常會顯示虛假錯誤訊息，旨在提示使用者將腳本複製並貼上到其 PowerShell 終端機或 Windows 運行提示符中，從而啟動感染過程。

手套偷竊者如何進入

Glove Stealer 透過ClickFix等策略利用使用者信任，誤導使用者相信他們正在解決系統問題。一旦惡意腳本被執行，它就會啟動與命令和控制（C&C）伺服器的聯繫，表明在受害者的系統上成功部署。此通訊過程使用獨特的、隨機產生的字串和 ID 標記，建立一個連接，以方便攻擊者發出進一步的指令。

手套偷竊者想要收穫什麼

Glove Stealer 的主要目標是資料外洩。它針對儲存在瀏覽器、應用程式和瀏覽器擴充功能中的各種敏感資訊。它的覆蓋範圍擴展到了 Chrome、Firefox、Edge 和 Brave 等主要瀏覽器。該惡意軟體還會快速終止與這些瀏覽器相關的進程，使其能夠不間斷地獲得對儲存資料的獨佔存取權限。

除了瀏覽資料之外，Glove Stealer 還在其他數位資產上撒下了廣泛的網，目標是加密貨幣錢包、2FA 身份驗證器、密碼管理工具，甚至電子郵件用戶端。該惡意軟體會仔細檢查 80 多個已安裝的應用程序，並掃描多達 280 個瀏覽器擴展程序，以竊取有價值的信息，包括 cookie、登錄憑證、自動填充數據和 OTP 令牌。

資料收集和儲存方法

該惡意軟體系統性地將竊取的資料編譯成有組織的文字文件，儲存在特定的目錄結構中。這些目錄位於使用者最近使用的文件資料夾路徑中，並以從電腦名稱和磁碟序號的組合派生的 MD5 雜湊值作為前綴。
其他類型的資料（例如瀏覽器自動填入資訊、密碼憑證和錢包資料）儲存在類似指定的子資料夾中。作業系統、使用者名稱、語言設定和硬體規格等特定於設備的詳細資訊也會被收集並記錄在標記為INFS.txt.

複雜的旁路技術

Glove Stealer 的一個顯著功能是它能夠繞過應用程式綁定加密，這是現代瀏覽器中的一種保護措施。透過採用利用 IElevator 服務的模組，Glove Stealer 規避了這些加密保護措施。此功能允許攻擊者存取瀏覽器儲存的數據，否則這些數據將受到保護，這標誌著資訊竊取威脅的複雜性向前邁出了重要一步。

滲漏是如何發生的

收集資料後，Glove Stealer 使用 ECB 模式的 3DES 演算法對其進行加密。加密金鑰是根據時間戳記值動態產生的，並透過 MD5 雜湊進行保護。這保證了即使被盜資料包被截獲，也只有擁有對應金鑰的人才能解密。包含資料的 ZIP 檔案放置在最近的文檔目錄中，使用相同的 MD5 雜湊值作為前綴進行命名。

攻擊的最後階段包括透過 Base64 編碼的 POST 請求將加密包傳送到 C&C 伺服器。解密金鑰也作為資料有效負載的一部分發送，以確保攻擊者保持對其的存取。

對使用者和更廣泛的數位社群的影響

雖然由於混淆程度極低，Glove Stealer 可能還處於早期階段，但其滲透到廣泛應用程式並從中提取資料的能力表明其可能造成重大損害。加密貨幣錢包、密碼管理器和身份驗證工具的目標凸顯了威脅的轉變，旨在更深層次地破壞財務和個人安全。

對使用者來說，Glove Stealer 的出現意味著在處理意外通訊時保持警惕的重要性。社會工程策略不斷發展，經常嵌入看似常規的欺騙性提示，但會導致嚴重的安全漏洞。識別網路釣魚嘗試的跡象、避免需要執行腳本的未經請求的指令以及維護更新的安全實踐對於減輕此類風險至關重要。

底線

Glove Stealer 提醒我們數位威脅的適應性，不斷演變以繞過更新的安全措施並尋找日益多樣化的目標。儘管目前的形式很簡單，但該惡意軟體的範圍凸顯了未來發展的潛力，可能會擴大其影響力。意識、謹慎和強大的網路安全措施仍然是持續努力保護數位資產和個人資料免受新興威脅的重要工具。