يمكن للبرامج الضارة الجديدة Glove Stealer تجاوز تشفير تطبيق Google Chrome (App-Bound) لسرقة ملفات تعريف الارتباط للمتصفح.
وكما قال باحثو الأمن الرقمي من Gen الذين اكتشفوه لأول مرة أثناء التحقيق في حملة تصيد حديثة، فإن هذه البرامج الضارة لسرقة المعلومات هي “relatively simple and contains minimal obfuscation or protection mechanisms,” مما يشير إلى أنه من المحتمل جدًا أن يكون في مراحل تطويره المبكرة.
خلال هجماتهم، استخدم ممثلو التهديد أساليب الهندسة الاجتماعية المشابهة لتلك المستخدمة في”https://www.bleepingcomputer.com/news/security/fake-google-chrome-errors-trick-you-into-running-malicious-powershell-scripts/” الهدف=”_blank”> انقر فوق إصلاح سلسلة العدوى، حيث يتم خداع الضحايا المحتملين لتثبيت برامج ضارة باستخدام نوافذ خطأ وهمية معروضة داخل ملفات HTML المرفقة برسائل البريد الإلكتروني التصيدية.
يمكن للبرامج الضارة Glove Stealer .NET استخراج ملفات تعريف الارتباط وإخراجها من المتصفحات المستندة إلى Firefox وChromium (مثل Chrome وEdge وBrave وYandex وOpera).
كما أنها قادرة على سرقة محافظ العملات المشفرة من ملحقات المتصفح، والرموز المميزة لجلسة المصادقة الثنائية من Google، وMicrosoft، وAegis، وLastPass، وبيانات كلمة المرور من Bitwarden، وLastPass، وKeePass، بالإضافة إلى رسائل البريد الإلكتروني من عملاء البريد مثل Thunderbird.
“Other than stealing private data from browsers, it also tries to exfiltrate sensitive information from a list of 280 browser extensions and more than 80 locally installed applications,” قال باحث البرامج الضارة جان روبين.
“These extensions and applications typically involve cryptocurrency wallets, 2FA authenticators, password managers, email clients and others.”
قدرات تجاوز التشفير الأساسية المرتبطة بالتطبيق
لسرقة بيانات الاعتماد من متصفحات الويب Chromium، يتجاوز Glove Stealer دفاعات سرقة ملفات تعريف الارتباط لتشفير Google App-Bound، والتي كانت”https://www.bleepingcomputer.com/news/security/google-chrome-adds-app-bound-encryption-to-block-infostealer-malware/” الهدف=”_blank”> تم تقديمه بواسطة Chrome 127 في يوليو.
للقيام بذلك، يتبع”https://www.bleepingcomputer.com/news/security/new-tool-bypasses-google-chromes-new-cookie-encryption-system/” الهدف=”_blank”> الطريقة وصفها”https://x.com/xaitax/status/1850500705074700298″ الهدف=”_blank” rel=”nofollow noopener”>الباحث الأمني ألكسندر هاجيناه الشهر الماضي، باستخدام وحدة دعم تستخدم خدمة IElevator Windows المستندة إلى COM الخاصة بـ Chrome (التي تعمل بامتيازات SYSTEM) لفك تشفير واسترداد المفاتيح المشفرة App-Bound.
من المهم ملاحظة أن البرامج الضارة تحتاج أولاً إلى الحصول على امتيازات المسؤول المحلي على الأنظمة المخترقة لوضع هذه الوحدة في دليل ملفات البرامج في Google Chrome واستخدامها لاسترداد المفاتيح المشفرة.
ومع ذلك، على الرغم من أنها مثيرة للإعجاب على الورق، إلا أن هذا لا يزال يشير إلى أن Glove Stealer في مرحلة مبكرة من التطوير نظرًا لأنها طريقة أساسية تجاوزتها بالفعل معظم أدوات سرقة المعلومات الأخرى لسرقة ملفات تعريف الارتباط من جميع إصدارات Google Chrome، كما يقول الباحث”https://x.com/g0njxa” الهدف=”_blank” rel=”nofollow noopener”>g0njxa أخبر BleepingComputer في أكتوبر.
محلل البرامج الضارة”tooltip_parent” data-stringify-link=”https://x.com/RussianPanda9xx” تأخير=”150″ href=”https://x.com/RussianPanda9xx” rel=”nofollow noopener noreferrer” الهدف=”_blank”> الباندا الروسية صرح سابقًا لـ BleepingComputer أن طريقة Hagenah تبدو مشابهة لأساليب التجاوز المبكرة التي اتبعتها البرامج الضارة الأخرى بعد أن قامت Google لأول مرة بتطبيق تشفير Chrome App-Bound.
أصبحت الآن العديد من عمليات البرمجيات الخبيثة لسرقة المعلومات قادرة على تجاوزها”https://www.bleepingcomputer.com/news/security/infostealer-malware-bypasses-chromes-new-cookie-theft-defenses/” الهدف=”_blank”> ميزة الأمان الجديدة للسماح لهم “customers” لسرقة وفك تشفير ملفات تعريف الارتباط الخاصة بـ Google Chrome.
“This code [xaitax’s] requires admin privileges, which shows that we’ve successfully elevated the amount of access required to successfully pull off this type of attack,” أخبرت Google موقع BleepingComputer الشهر الماضي.
لسوء الحظ، على الرغم من أن امتيازات المسؤول مطلوبة لتجاوز التشفير المرتبط بالتطبيقات، إلا أن هذا لم يؤثر بعد بشكل ملحوظ في عدد حملات البرامج الضارة المستمرة لسرقة المعلومات.
زادت الهجمات فقط منذ شهر يوليو عندما نفذت Google تشفير App-Bound لأول مرة، مستهدفة الضحايا المحتملين عبر”https://www.bleepingcomputer.com/news/security/new-steelfox-malware-hijacks-windows-pcs-using-vulnerable-driver/” الهدف=”_blank”> السائقين المعرضين للخطر,”https://www.bleepingcomputer.com/news/security/cisa-warns-of-windows-flaw-used-in-infostealer-malware-attacks/” الهدف=”_blank”> ثغرات يوم الصفر,”https://www.bleepingcomputer.com/news/security/global-infostealer-malware-operation-targets-crypto-users-gamers/” الهدف=”_blank”>الإعلانات الضارة والتصيد الاحتيالي,”https://www.bleepingcomputer.com/news/security/cybercriminals-pose-as-helpful-stack-overflow-users-to-push-malware/” الهدف=”_blank”> إجابات StackOverflow، و”https://www.bleepingcomputer.com/news/security/clever-github-scanner-campaign-abusing-repos-to-push-malware/” الهدف=”_blank”> إصلاحات وهمية لمشكلات GitHub.