article featured image

New Glove Stealer 恶意软件能够绕过谷歌 Chrome 浏览器的应用程序绑定(App-Bound)加密来窃取浏览器 cookie。

威胁者的攻击采用了与 ClickFix 感染链类似的社会工程学技术,即在钓鱼电子邮件所附 HTML 文件中包含虚假错误窗口,欺骗潜在受害者安装恶意软件。

据网络安全研究人员称,该恶意软件相对简单,只包含极少的混淆或保护机制,这可能表明该信息窃取程序还处于早期开发阶段。

关于恶意软件的详细信息

该恶意软件能够从火狐浏览器和基于 Chromium 的浏览器(如 Chrome、Edge 或 Opera)中提取和渗透 Cookie。

此外,研究人员称它还能从浏览器扩展中窃取加密货币钱包,从谷歌、微软、Aegis 和 LastPass 身份验证器应用程序中窃取 2FA 会话令牌,以及密码数据和 Thunderbird 等邮件客户端中窃取电子邮件。

Glove Stealer绕过了谷歌7月份在Chrome 127中实施的App-Bound加密cookie盗窃防御措施,从而从Chromium网络浏览器中窃取凭证。

这种绕过技术大约在两周前被公开,它利用浏览器特定的基于 COM 的内部 IElevator 服务获取并解密所需的密钥。

Glove Stealer程序如何运行

值得注意的是,恶意软件要运行,首先需要获得本地管理员权限。

恶意软件通过含有 HTML 附件的钓鱼邮件传播,点击附件后会显示虚假的错误信息,说明内容无法正确渲染,并提供所谓的用户如何解决问题的指导。

实际上,不明真相的受害者会被告知复制一个恶意脚本并在运行提示符或终端中运行。在执行多个脚本和一个 PowerShell 命令后,该脚本最终导致感染信息窃取程序。

运行后,Glove Stealer 会重复原来的故事,同时表面上寻找系统中的错误。但在后台,它会与一个命令与控制(C&C)服务器取得联系,并开始其渗透和数据收集过程。

该恶意软件从 C&C 获取了一个额外的模块,开始寻找 App-Bound 加密密钥,以超越安全性并从基于 Chromium 的浏览器中渗出 Cookie。

文章原文链接:https://www.anquanke.com/post/id/302365