Il nuovo infostealer Glove Stealer è in grado di bypassare la crittografia Application-Bound (App-Bound) di Google Chrome per rubare i cookie del browser.
“Il malware Glove Stealer può infatti aggirare la protezione App-Bound Encryption di Chrome per sottrarre cookie e altre informazioni sensibili“, commenta Fabrizio Croce, VP Sales South Europe WatchGuard Technologies.
“Il malware Glove Stealer non appare essere complesso”, aggiunge Pierluigi Paganini, analista di cyber security e CEO Cybhorus, “probabilmente perché è nelle fasi iniziali del suo ciclo di sviluppo. Il codice malevolo manca ancora di meccanismi di evasione e protezione”. Ecco come mitigare il rischio.
Indice degli argomenti
L’infostealer Glove Stealer
Secondo i ricercatori di sicurezza di Gen Digital, che lo hanno scoperto indagando su una recente campagna di phishing, questo malware per il furto di informazioni è relativamente semplice e contiene meccanismi di offuscamento o di protezione minimi. Molto probabilmente si trova nelle prime fasi di sviluppo.
“Restano tuttavia alcuni aspetti da attenzionare, come la rapida evoluzione della minaccia che è già in grado di rubare un’ampia gamma di informazioni sensibili dal sistema della vittima”, mette in guardia Paganini.
Durante i loro attacchi, gli attori della minaccia hanno utilizzato tattiche di social engineering simili a quelle utilizzate nella catena di infezione di ClickFix, in cui le potenziali vittime vengono indotte a installare il malware utilizzando finestre di errore fasulle visualizzate all’interno di file HTML allegati alle e-mail di phishing.
Il malware Glove Stealer .NET è in grado di estrarre ed esfiltrare i cookie da Firefox e dai browser basati su Chromium (per esempio, Chrome, Edge, Brave, Yandex, Opera). È anche in grado di rubare portafogli di criptovalute dalle estensioni del browser, token di sessione 2FA dalle app di autenticazione di Google, Microsoft, Aegis e LastPass, dati di password da Bitwarden, LastPass e KeePass, nonché mail da client di posta come Thunderbird.
“Oltre a rubare dati privati dai browser, cerca anche di esfiltrare informazioni sensibili da un elenco di 280 estensioni del browser e più di 80 applicazioni installate localmente”, afferma il ricercatore di malware Jan Rubín.
“Queste estensioni e applicazioni riguardano tipicamente portafogli di criptovalute, autenticatori 2FA, gestori di password, client di posta elettronica e altro”.
I dettagli
Per rubare le credenziali dai browser web Chromium, Glove Stealer aggira le difese contro il furto dei cookie di crittografia App-Bound di Google, introdotte dalla versione Chrome 127 .
“Altra caratteristica interessante è infatti la capacità di bypassare la crittografia lanciata da Google nel luglio 2023, a riprova della versatilità del malware“, mette in guardia Paganini.
Per farlo, segue il metodo descritto dal ricercatore di sicurezza Alexander Hagenah il mese scorso, utilizzando un modulo di supporto che sfrutta il servizio Windows IElevator basato su COM di Chrome (in esecuzione con privilegi SYSTEM) per decifrare e recuperare le chiavi crittografate App-Bound.
Occorre evidenziare che “Glove Stealer, per rubare i cookie necessita di privilegi di amministratore sul sistema compromesso”, spiega Paganini: “Per farlo utilizza una tecnica soppiantata da altre metodiche più avanzate già implementate da alti info-stealer a riprova che la minaccia è ancora nella fase di sviluppo iniziale. La circostanza suggerisce che gli autori Glove Stealer stiano cercando di raffinare il proprio codice introducendo funzionalità per aggirare le nuove tecnologie di protezione”.
Infatti il malware deve prima ottenere i privilegi di amministratore locale sui sistemi compromessi per collocare questo modulo nella directory Program Files di Google Chrome e utilizzarlo per recuperare le chiavi crittografate.
L’infostealer Glove in fase di sviluppo iniziale
Sebbene impressionante sulla carta, ciò indica che Glove Stealer è ancora in fase di sviluppo iniziale. Infatti si tratta di un metodo di base che la maggior parte degli altri infostealer ha già superato per rubare i cookie da tutte le versioni di Google Chrome. Lo ha spiegato il ricercatore g0njxa a BleepingComputer lo scorso ottobre.
Secondo l’analista di malware Russian Panda, il metodo di Hagenah sembra simile ai primi approcci di aggiramento adottati da altri malware dopo che Google ha implementato per la prima volta la crittografia Chrome App-Bound.
Molteplici operazioni di malware infostealer sono ora in grado di bypassare la nuova funzione di sicurezza per consentire ai loro “clienti” di rubare e decriptare i cookie di Google Chrome.
“Questo codice [di xaitax] richiede i privilegi di amministratore, il che dimostra che siamo riusciti a elevare la quantità di accesso necessaria per portare a termine con successo questo tipo di attacco”, ha dichiarato Google a BleepingComputer il mese scorso.
Come proteggersi
Gli attacchi sono aumentati da luglio, quando Google ha implementato per la prima volta la crittografia App-Bound, prendendo di mira le potenziali vittime attraverso driver vulnerabili, vulnerabilità zero-day, malvertising, spearphishing, risposte a StackOverflow e false correzioni a problemi di GitHub.
Sfortunatamente, anche se i privilegi di amministrazione sono necessari per aggirare la crittografia App-Bound, ciò non ha ancora ridotto in modo significativo il numero di campagne di malware che rubano informazioni.
“Sebbene non sia una minaccia ancora particolarmente preoccupante è cruciale monitorarne l’evoluzione”, conclude Paganini.
La migliore arma di difesa è la consapevolezza unita alla postura di sicurezza, seguendo le migliori pratiche di cyber igiene.
“È estremamente importante mantenere sempre aggiornati i sistemi di sicurezza, i sistemi operativi e i browser: sistemi automatici di patch management più un motore EDR in grado di agire contro le minacce sconosciute tramite il concetto di Zero Trust e Threat Hunting sono le soluzioni che dovremmo mettere in atto per proteggerci da minacce di questo tipo”, conclude Fabrizio Croce.