Исследователи из Gen Security обнаружили Glove Stealer, вредоносную программу для кражи информации, распространяемую через фишинговые кампании, использующие такие тактики социальной инженерии, как ClickFix и FakeCaptcha. Эти тактики обманывают пользователей, выдавая фальшивые сообщения об ошибках и направляя их на выполнение вредоносных скриптов в терминале или строке Run, что приводит к заражению системы.
Glove Stealer
Glove Stealer - это вредоносная программа на базе .NET с минимальной обфускацией, что позволяет предположить, что она находится на ранней стадии разработки. Он использует обход шифрования App-Bound в Chrome с помощью сервиса IElevator, метод которого был публично раскрыт в конце октября 2024 года.
Вредоносная программа перехватывает данные из более чем 280 расширений браузера и 80 приложений, стремясь получить конфиденциальную информацию, такую как данные криптовалютных кошельков, данные аутентификатора 2FA, учетные данные менеджера паролей и данные почтового клиента. Кроме того, вредонос собирает файлы cookie, данные автозаполнения и профили браузеров, сохраняя их в структурированных текстовых файлах, помеченных именами браузеров и профилей. Перед утечкой данных вредоносная программа завершает процессы, связанные с основными браузерами, такими как Chrome, Firefox и Edge, в бесконечном цикле.
Данные сжимаются в zip-файл, шифруются с помощью 3DES и отправляются на командно-контрольный сервер (C&C) с помощью POST-запроса. Ключ шифрования генерируется динамически и передается отдельно, чтобы гарантировать злоумышленникам сохранение доступа. Glove Stealer также использует полезную нагрузку .NET под названием «zagent.exe» для обхода шифрования Chrome App-Bound, получая ключи дешифрования из локального файла состояния Chrome. Для выполнения этой полезной нагрузки требуются привилегии администратора, поскольку она должна быть размещена в каталоге Chrome.
Фишинговые письма, доставляющие Glove Stealer, часто содержат HTML-вложения, которые предлагают пользователям выполнить вредоносные скрипты. Скрипты подключаются к C&C-серверу для загрузки полезной нагрузки, которая затем переправляет собранные данные в заранее определенные места.
Indicators of Compromise
Domains
- master.hdsjfkgsadoghdsiougds.space
- master.volt-texs.online
MD5
- 7063ad10bd5a92e76f6ec040e1610241
- cda9a7821105d51b81a32f9167c042b0
- f54846078a33b2bfca13fb8eddd37afd
SHA1
- 27dc23bebd3ede791710bd3ac7d554f09cdc742f
- 6c63a0c33f9b094e07391754ae7bc18d31796424
- d7cc7eb0e4ddc3d1e3bf31c69d34e340ad5f9fac
SHA256
- 2bf6fab237ab58ae6cfe78f9a61ab6dcaf55f437cb7a77878e2e6aae3b208e80
- 56da496329d54587c31119d8878a7831a9814a92839aa6a9873ceeb91575b11a
- 86ad4082e086a0b9a22dc91a16d0d9be38232975ab4d3d035224fb6d6cc7a44c
