El nuevo malware Glove Stealer puede eludir el cifrado vinculado a aplicaciones (App-Bound) de Google Chrome para robar cookies del navegador.
Como dijeron los investigadores de seguridad de Gen Digital, que lo detectaron por primera vez mientras investigaban una reciente campaña de phishing, este malware de robo de información es “relativamente simple y contiene mecanismos de seguridad mínimos”, lo que indica que probablemente se encuentre en sus inicios. etapas de desarrollo.
Durante sus ataques, los actores de amenazas utilizaron tácticas de ingeniería social similares a las utilizadas en la cadena de infección ClickFix, donde se engaña a las víctimas potenciales para que instalen malware utilizando errores de ventanas falsos que se muestran en archivos HTML adjuntos a correos electrónicos de phishing.
El malware Glove Stealer .NET puede extraer y filtrar cookies de los navegadores Firefox y Chromium (por ejemplo, Chrome, Edge, Brave, Yandex, Opera).
También es capaz de robar billeteras de criptomonedas de extensiones de navegador, tokens de sesión 2FA de aplicaciones de autenticación de Google, Microsoft, Aegis y LastPass, datos de contraseñas de Bitwarden, LastPass y KeePass, así como correos electrónicos de clientes de correo electrónico como Thunderbird.
“Además de robar datos privados de los navegadores, también intenta extraer información confidencial de una lista de 280 extensiones de navegador y más de 80 aplicaciones instaladas localmente”. dijo el investigador de malware Jan Rubín.
“Estas extensiones y aplicaciones generalmente involucran billeteras de criptomonedas, autenticadores 2FA, administradores de contraseñas, clientes de correo electrónico y otros”.
Capacidades básicas de omisión de cifrado relacionadas con aplicaciones
Para robar credenciales de los navegadores web Chromium, Glove Stealer elude las defensas contra el robo de cookies de cifrado App-Bound de Google, que fueron introducidas por Chrome 127 en julio.
Para ello sigue el método descrito por investigador de seguridad Alexander Hagenah el mes pasado, utilizando un módulo de soporte que utiliza el servicio IElevator de Windows basado en COM de Chrome (que se ejecuta con privilegios de SISTEMA) para descifrar y recuperar claves cifradas relacionadas con aplicaciones.
Es importante tener en cuenta que el malware primero debe obtener privilegios de administrador local en los sistemas comprometidos para colocar este módulo en el directorio Archivos de programa de Google Chrome y usarlo para recuperar las claves cifradas.
Sin embargo, aunque es impresionante sobre el papel, esto indica que Glove Stealer todavía está en su infancia, ya que es un método básico que la mayoría de los otros ladrones de información ya han superado para robar cookies de todas las versiones de Google Chrome, como el buscador. g0njxa ”, dijo a BleepingComputer en octubre.
Analista de malware panda ruso Le dijo anteriormente a BleepingComputer que el método de Hagenah se parece a los primeros enfoques de evasión adoptados por otro malware después de que Google implementara por primera vez el cifrado Chrome App-Bound.
Varias operaciones de malware de robo de información ahora pueden eludir la nueva característica de seguridad para permitir a sus “clientes” robar y descifrar las cookies de Google Chrome.
“Este código [xaitax’s] Requiere privilegios de administrador, lo que demuestra que hemos aumentado con éxito la cantidad de accesos necesarios para tener éxito en este tipo de ataque”, dijo Google a BleepingComputer el mes pasado.
Desafortunadamente, aunque se requieren privilegios de administrador para evitar el cifrado vinculado a aplicaciones, esto aún no ha reducido significativamente la cantidad de campañas maliciosas de robo de información en curso.
Los ataques solo han aumentado desde julio, cuando Google implementó por primera vez el cifrado App-Bound, dirigido a víctimas potenciales a través de controladores vulnerables, vulnerabilidades de día cero, publicidad maliciosa, phishing, respuestas StackOverflow y soluciones falsas a problemas de GitHub.