Новости Новый инфостилер Glove обходит шифрование cookies в Chrome

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
29.256
Репутация
11.800
Реакции
61.967
RUB
50
Glove — новая вредоносная программа, которую авторы научили обходить привязанное к софту шифрование, недавно добавленное в Google Chrome.

Цель «перчатки» в системе — выкрасть пользовательские данные. Первыми на киберугрозу обратили внимание специалисты компании Gen Digital. Изучая фишинговую кампанию, исследователи наткнулись на Glove.

glove_infostealer_malware_news.png


По словам экспертов, новый вредонос относительно прост в исполнении, содержит минимальное количество защитных механизмов и обфускации. Всё это указывает на то, что Glove пока находится в стадии разработки.

Операторы зловреда используют методы социальной инженерии, напоминающие те, что уже применялись в кампании ClickFix: жертву обманом заставляли установить в систему инфостилер с помощью фейковых окон с ошибкой и приатаченного к письмам HTML-вложения.

1-clickfix_attachment_sample.webp


Чтобы добраться до учётных данных, сохранённых в Chromium-браузерах, Glove обходит недавно представленное шифрование, привязанное к софту (App-Bound Encryption). Для этого вредонос задействует метод, описанный в прошлом месяце исследователем в области кибербезопасности Александром Хагенахом.

Суть заключается в использовании вспомогательного модуля, который подтягивает службу Chrome в Windows — COM-based IElevator (работает с правами SYSTEM). Таким способом Glove вытаскивает и расшифровывает ключи App-Bound Encryption. Однако есть нюанс: инфостилеру сначала надо получить на устройстве права локального администратора.

Попав в систему, Glove пытается вытащить cookies, данные криптовалютных кошельков, сессионные токены и пароли из браузеров и имейл-клиентов.



 
Сверху Снизу