O novo malware Glove Stealer pode contornar a criptografia App-Bound (Application-Bound) do Google Chrome para roubar cookies do navegador.
Pesquisadores de segurança da Gen Digital, que o identificaram pela primeira vez enquanto investigavam uma recente campanha de phishing, disseram que esse malware de roubo de informações é "relativamente simples e contém mecanismos mínimos de ofuscação ou proteção", indicando que é muito provável que esteja nos seus estágios iniciais de desenvolvimento.
Durante seus ataques, os atores de ameaças usaram táticas de engenharia social semelhantes às utilizadas na cadeia de infecção ClickFix, onde vítimas em potencial são enganadas para instalar o malware usando janelas de erro falsas exibidas dentro de arquivos HTML anexados aos e-mails de phishing.
O malware Glove Stealer .NET pode extrair e exfiltrar cookies de navegadores baseados em Firefox e Chromium (por exemplo, Chrome, Edge, Brave, Yandex, Opera).
Ele também é capaz de roubar carteiras de criptomoedas de extensões de navegador, tokens de sessão de autenticação de dois fatores (2FA) do Google, Microsoft, Aegis e aplicativos autenticadores LastPass, dados de senha do Bitwarden, LastPass e KeePass, bem como e-mails de clientes de correio como o Thunderbird.
"Além de roubar dados privados dos navegadores, ele também tenta exfiltrar informações sensíveis de uma lista de 280 extensões de navegador e mais de 80 aplicativos instalados localmente", disse o pesquisador de malware Jan Rubín.
Essas extensões e aplicativos normalmente envolvem carteiras de criptomoedas, autenticadores 2FA, gerenciadores de senha, clientes de e-mail e outros.
Para roubar credenciais de navegadores web baseados em Chromium, o Glove Stealer contorna as defesas de criptografia de roubo de cookie App-Bound do Google, que foram introduzidas pelo Chrome 127 em julho.
Para fazer isso, ele segue o método descrito pelo pesquisador de segurança Alexander Hagenah no mês passado, usando um módulo de suporte que utiliza o próprio serviço do Windows baseado em COM do Chrome, IElevator (executado com privilégios do SISTEMA), para descriptografar e recuperar chaves criptografadas App-Bound.
É importante notar que o malware primeiro precisa obter privilégios de administrador local nos sistemas comprometidos para colocar esse módulo no diretório Program Files do Google Chrome e usá-lo para recuperar chaves criptografadas.
No entanto, embora impressionante no papel, isso ainda aponta para o Glove Stealer estar em desenvolvimento inicial, já que é um método básico que a maioria dos outros ladrões de informações já ultrapassou para roubar cookies de todas as versões do Google Chrome, como o pesquisador g0njxa disse.
O analista de malware Russian Panda disse anteriormente que o método de Hagenah parece semelhante a abordagens de bypass iniciais que outros malwares adotaram depois que o Google implementou pela primeira vez a criptografia App-Bound do Chrome.
Várias operações de malware infostealer agora são capazes de contornar o novo recurso de segurança para permitir que seus "clientes" roubem e descriptografem cookies do Google Chrome.
"Esse código [xaitax] requer privilégios de administração, o que mostra que tivemos sucesso em elevar a quantidade de acesso necessário para realizar com sucesso esse tipo de ataque", disse o Google.
Infelizmente, mesmo que privilégios de administração sejam necessários para contornar a criptografia App-Bound, isso ainda não causou um impacto notável no número de campanhas de malware de roubo de informações em curso.
Os ataques só aumentaram desde julho, quando o Google implementou pela primeira vez a criptografia App-Bound, visando vítimas em potencial através de drivers vulneráveis, vulnerabilidades zero-day, malvertising, spear phishing, respostas no StackOverflow e correções falsas para problemas no GitHub.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...