Yeni Glove Stealer kötü amaçlı yazılım, tarayıcı çerezlerini çalmak için Google Chrome'un uygulamaya bağlı (uygulamaya bağlı) şifrelemesini atlayabilir.
Yakın tarihli bir kimlik avı kampanyasını araştırırken ilk kez tespit eden Gen Dijital Güvenlik Araştırmacılarının söylediği gibi, bu bilgi çalma kötü amaçlı yazılımları "nispeten basittir ve minimum gizleme veya koruma mekanizmaları içerir", bu da erken gelişim aşamalarında olduğunu gösterir.
Saldırıları sırasında, tehdit aktörleri, potansiyel kurbanların kimlik avı e -postalarına bağlı HTML dosyalarında görüntülenen sahte hata pencereleri kullanarak kötü amaçlı yazılım yüklemeye kandırıldığı ClickFix enfeksiyon zincirinde kullanılanlara benzer sosyal mühendislik taktikleri kullandılar.
Glove Stealer .NET kötü amaçlı yazılım, Firefox ve krom tabanlı tarayıcılardan (örn., Krom, Edge, Cesur, Yandex, Opera) çerezleri çıkarabilir ve püskürebilir.
Ayrıca tarayıcı uzantılarından kripto para cüzdanları, Google, Microsoft, Aegis ve LastPass Authenticator uygulamalarından 2FA oturum jetonları, Thunderbird gibi posta müşterilerinden e -postalardan parola verilerini çalabilir.
Mal -yazılım araştırmacısı Jan Rubín, "Tarayıcılardan özel veri çalmaktan başka, 280 tarayıcı uzantısı ve 80'den fazla yerel olarak yüklü uygulamadan oluşan bir listeden hassas bilgileri yaymaya çalışır." Dedi.
"Bu uzantılar ve uygulamalar genellikle kripto para cüzdanları, 2FA kimlik doğrulayıcısı, şifre yöneticileri, e -posta istemcileri ve diğerlerini içerir."
Chromium Web tarayıcılarından kimlik bilgilerini çalmak için Glove Stealer, Google'ın Temmuz ayında Chrome 127 tarafından tanıtılan uygulamaya bağlı şifreleme çerez-çalı savunmalarını atlar.
Bunu yapmak için, geçen ay güvenlik araştırmacısı Alexander Hagenah tarafından açıklanan yöntemi izler ve uygulamaya bağlı şifreli anahtarları şifresini çözmek ve almak için Chrome'un kendi COM tabanlı Ielevator Windows hizmetini (sistem ayrıcalıklarıyla çalışır) kullanan bir destek modülü kullanarak.
Kötü amaçlı yazılımın ilk olarak bu modülü Google Chrome'un Program Dosyaları dizinine yerleştirmek ve şifreli anahtarları almak için kullanması için uzlaşılmış sistemlerde yerel yönetici ayrıcalıkları alması gerektiğini belirtmek önemlidir.
Bununla birlikte, kağıt üzerinde etkileyici olmasına rağmen, bu hala G0NJXA'nın Ekim ayında BleepingComputer'a söylediği gibi, diğer bilgi çalıcılarının tüm Google Chrome sürümlerinden çerezleri çalmak için zaten aştığı temel bir yöntem olduğundan, Glove Stealer'ın erken gelişimde olmasına işaret ediyor.
Kötü amaçlı yazılım analisti Rus Panda daha önce BleepingComputer'a Hagenah'ın yönteminin, Google'ın Chrome uygulamaya bağlı şifrelemeyi ilk uyguladıktan sonra aldığı erken baypas yaklaşımlarına benzediğini söyledi.
Birden fazla Infostealer kötü amaçlı yazılım işlemleri artık "müşterilerinin" Google Chrome çerezlerini çalmasına ve şifresini çözmesine izin vermek için yeni güvenlik özelliğini atlayabilir.
Google geçen ay BleepingComputer'a verdiği demeçte, "Bu kod [Xaitax's], bu tür saldırıları başarıyla çıkarmak için gereken erişim miktarını başarıyla yükselttiğimizi gösteren yönetici ayrıcalıkları gerektiriyor." Dedi.
Ne yazık ki, uygulamaya bağlı şifrelemeyi atlamak için yönetici ayrıcalıkları gerekse de, bu henüz devam eden bilgi çalan kötü amaçlı yazılım kampanyaları sayısına dikkat çekici bir göçük koymamıştır.
Saldırılar ancak Google'ın uygulamaya bağlı şifrelemeyi ilk uyguladığı, korunmasız sürücüler, sıfır gün güvenlik açıkları, kötü niyetli, spearfising, stackoverflow cevapları ve GitHub sorunlarına sahte düzeltmeleri hedeflediği Temmuz ayından bu yana arttı.
Yeni Steelfox kötü amaçlı yazılım, savunmasız sürücü kullanarak Windows PC'leri kaçırır
Infostealer kötü amaçlı yazılım, Chrome’un yeni çerez-çalı savunmasını atlar
ABD, 3 kurbandan 2,5 milyon dolarlık zorlu olan kar tanesi bilgisayar korsanlarını gösteriyor
Saldırılarda Rustystealer ile yeni YMIR Fidye Yazılımı Ortakları
ABD tarafından Redline Infostealer kötü amaçlı yazılım oluşturmak için ücretlendirilen Rusça
Kaynak: Bleeping Computer