Glove Stealer Malware

Par Mezo en Logiciels malveillants, Les voleurs

Se traduisent par :

Le malware Glove Stealer est un ajout récent au paysage des cybermenaces, qui se distingue par sa capacité à contourner le chiffrement lié aux applications (App-Bound) de Google Chrome. Identifiée pour la première fois par des chercheurs en cybersécurité lors d'une enquête sur une campagne de phishing, cette menace représente un tournant dans la course aux armements entre les acteurs malveillants et les solutions de sécurité.

Ce qui distingue Glove Stealer, c'est sa construction relativement simple. Il présente un minimum de mécanismes d'obscurcissement ou de défense, ce qui indique un stade précoce de développement. Cependant, sa simplicité ne compromet pas son potentiel. Ce malware pose un nouveau défi, ce qui indique que son évolution n'est peut-être pas loin.

Table des matières

L’ingénierie sociale : tremplin vers l’infection

La chaîne d'infection qui déploie Glove Stealer repose sur des tactiques d'ingénierie sociale rappelant celles employées dans les campagnes ClickFix. Les victimes sont attirées par des e-mails de phishing contenant des pièces jointes HTML frauduleuses qui simulent des fenêtres d'erreur. Lorsque les utilisateurs interagissent avec ces messages, ils déclenchent involontairement le processus d'installation du malware, préparant ainsi le terrain pour l'exfiltration d'informations sensibles.

Une fois à l'intérieur du système ciblé, le Glove Stealer démontre son efficacité en extrayant rapidement les cookies des navigateurs les plus populaires, notamment Chrome, Edge, Brave, Yandex et Opera. Sa portée s'étend au-delà des navigateurs, car il cible également les utilisateurs de Firefox, mettant en avant une stratégie d'attaque polyvalente.

Un voleur de données polyvalent

L'une des caractéristiques les plus remarquables de Glove Stealer est sa capacité à extraire des données à partir d'un large éventail de sources. Le malware est expert dans la collecte de données :

Cookies du navigateur : la cible principale de la collecte initiale de données, aidant les attaquants à détourner les sessions authentifiées.
Portefeuilles de crypto-monnaie : extrait les données du portefeuille à partir des extensions de navigateur, une préoccupation majeure pour les détenteurs de monnaie numérique.
Jetons 2FA : ces jetons ciblent les sessions des applications d'authentification telles que Google, Microsoft, Aegis et LastPass, mettant en péril une couche de sécurité essentielle.
Données de mot de passe : vole les informations d'identification stockées dans les gestionnaires de mots de passe tels que Bitwarden, KeePass et LastPass.
E-mails : compromet les clients de messagerie, notamment Thunderbird, pour accéder aux communications sensibles.

Au-delà de cela, Glove Stealer cible plus de 280 extensions de navigateur et environ 80 applications installées localement, mettant l'accent sur les portefeuilles de crypto-monnaie, les clients de messagerie et les outils d'authentification.

Contourner le chiffrement lié aux applications : l’avantage technique

L'une des avancées les plus importantes de Glove Stealer est sa capacité à contourner le chiffrement lié aux applications de Chrome. Introduite dans Chrome 127, cette fonctionnalité de sécurité a été conçue pour protéger les cookies du navigateur contre tout accès non autorisé. Glove Stealer exploite un module spécifique pour y parvenir, en utilisant le service Windows IElevator basé sur COM de Chrome, qui fonctionne avec des privilèges SYSTEM, pour décrypter et récupérer les clés chiffrées liées aux applications.

Cependant, cette technique nécessite des droits d'administrateur local sur le système compromis pour implanter le module dans le répertoire Program Files de Chrome. Bien que cela représente un obstacle initial, de nombreux attaquants ont trouvé des moyens de contourner ces exigences de privilèges grâce à des chaînes d'exploitation et à des tactiques d'ingénierie sociale.

Une stratégie familière avec un nouveau nom

La méthode utilisée par Glove Stealer pour contourner le chiffrement n'est pas entièrement nouvelle. Les analystes ont noté des similitudes entre son approche et celles observées dans les précédents voleurs d'informations apparus après le premier déploiement par Chrome de son chiffrement App-Bound. Cela souligne une tendance : les développeurs de logiciels malveillants affinent les techniques établies pour échapper aux nouvelles mesures de sécurité. Bien qu'il nécessite des privilèges d'administrateur, l'adoption de ce contournement par Glove Stealer indique que ses développeurs souhaitent le mettre au même niveau que des collecteurs d'informations plus avancés.

Un paysage de menaces en pleine croissance

Depuis l'introduction du chiffrement App-Bound de Chrome en juillet, le volume des campagnes de vol d'informations n'a pas diminué de manière significative. En fait, les attaques sont devenues plus sophistiquées, ciblant les victimes par le biais de diverses méthodes telles que :

Malvertising et spearphishing : utilisation de publicités trompeuses et de phishing ciblé pour piéger les victimes.
Exploitation des vulnérabilités : Utilisation d'exploits zero-day et de pilotes vulnérables pour contourner les protocoles de sécurité.
Tactiques en ligne trompeuses : dissimuler les logiciels malveillants dans les solutions StackOverflow et les réponses aux problèmes GitHub.

Le succès continu de telles opérations démontre que même des mesures de chiffrement robustes ne peuvent à elles seules dissuader les attaquants motivés. Le voleur de gants témoigne de la nature adaptative des acteurs de la menace, qui sont prompts à exploiter et à contourner les nouvelles implémentations de sécurité.

La route à suivre

Bien que le développement précoce de Glove Stealer et ses techniques de contournement de base puissent laisser penser qu'il n'a actuellement qu'un impact limité, son existence indique une tendance plus large à l'évolution des capacités des malwares. À mesure que cette menace continue de se développer, elle pourrait intégrer des méthodes plus sophistiquées pour étendre sa portée et son efficacité.

Il est essentiel pour les professionnels de la cybersécurité de comprendre l’émergence de menaces telles que le voleur de gants. Rester informé et vigilant, mettre à jour les défenses des terminaux et éduquer les utilisateurs sur l’identification des tactiques de phishing et d’ingénierie sociale restent des étapes essentielles pour se protéger contre les menaces émergentes.

Le voyage de Glove Stealer ne fait peut-être que commencer, mais il est sur le point de remettre en question les mesures de sécurité et de susciter de nouvelles innovations en matière de cybersécurité.

SpyHunter pour Windows d'EnigmaSoft a obtenu la certification AV-TEST

Rechercher

Changer de région

Glove Stealer Malware

L’ingénierie sociale : tremplin vers l’infection

Un voleur de données polyvalent

Contourner le chiffrement lié aux applications : l’avantage technique

Une stratégie familière avec un nouveau nom

Un paysage de menaces en pleine croissance

La route à suivre

Soumettre un Commentaire

Tendance

Arnaque Airdrop CYBRO

ProductUpgrade

Recherche DSR

Le plus regardé

Discord affiche un écran noir lors du partage d'écran

Comment corriger l'erreur « Le pilote d'imprimante...

Qu'est-ce que Msedge.exe ?