Data theft

新しいGlove Stealerマルウェアは、Google Chromeのアプリケーションバインド(App-Bound)暗号化をバイパスしてブラウザのクッキーを盗みます。

最近のフィッシング・キャンペーンを調査中にこのマルウェアを最初に発見したGen Digitalのセキュリティ研究者が言うように、この情報窃取マルウェアは「比較的シンプルで、難読化や保護メカニズムが最小限に抑えられている」ため、開発初期段階である可能性が非常に高い。

この攻撃では、ClickFixの感染チェーンで使用されているものと同様のソーシャル・エンジニアリング手法が使用されており、フィッシングメールに添付されたHTMLファイル内に表示される偽のエラーウィンドウを使用して、潜在的な被害者を騙してマルウェアをインストールさせるというものです。

ClickFix attachment sample
ClickFix HTML添付ファイルのサンプル(Gen Digital)

Glove Stealer .NETマルウェアは、FirefoxやChromiumベースのブラウザ(Chrome、Edge、Brave、Yandex、Operaなど)からクッキーを抽出し、その情報を抜き取ることができます。

また、ブラウザの拡張機能から暗号通貨のウォレットを盗んだり、Google、Microsoft、Aegis、LastPassの認証アプリから2FAのセッショントークンを盗んだり、Bitwarden、LastPass、KeePassのパスワードデータを盗んだり、Thunderbirdのようなメールクライアントからメールを盗んだりすることも可能です。

「マルウェア研究者のJan Rubín氏は、「ブラウザから個人データを盗むだけでなく、280のブラウザ拡張機能と80以上のローカルにインストールされたアプリケーションのリストから機密情報を流出させようとします。

“これらの拡張機能やアプリケーションは、一般的に暗号通貨ウォレット、2FA認証、パスワードマネージャ、電子メールクライアントなどを含む。”

基本的なApp-Bound暗号化バイパス機能

Chromiumウェブブラウザから認証情報を盗むために、Glove Stealerは7月にChrome 127で導入されたグーグルのApp-Bound暗号化クッキー盗難防御をバイパスする。

これは Chrome独自のCOMベースのIElevator Windowsサービス(SYSTEM権限で実行)を使用するサポートモジュールを使用して、App-Bound暗号化キーを解読して取得するものです。

このマルウェアは、Google ChromeのProgram Filesディレクトリにこのモジュールを配置し、暗号化されたキーを取得するために、まず侵害されたシステムのローカル管理者権限を取得する必要があることに注意が必要です。

しかし、研究者g0njxaが10月に語ったように、Glove Stealerはすでに他のほとんどの情報窃盗犯がすべてのGoogle Chromeバージョンからクッキーを盗むために凌駕している基本的な方法であるため、紙面上では印象的ではあるものの、これはまだ開発の初期段階であることを示している。

マルウェアアナリストのRussian Pandaは以前、Hagenahの方法は、Googleが最初にChrome App-Bound暗号化を実装した後に他のマルウェアが取った初期のバイパスアプローチに似ていると述べた。

複数の情報窃盗マルウェアが、この新しいセキュリティ機能を迂回し、”顧客 “がGoogle Chromeのクッキーを盗み、解読できるようにしている。

「このコード(xaitaxのもの)には管理者権限が必要であり、この種の攻撃を成功させるために必要なアクセス権の量を増やすことに成功したことを示している」とグーグルは先月述べている。

残念なことに、App-Bound暗号化をバイパスするためには管理者権限が必要であるにもかかわらず、現在進行中の情報窃取マルウェアのキャンペーンを顕著に減少させるまでには至っていない。

攻撃は、グーグルがApp-Bound暗号化を初めて実装した7月以降、増加の一途をたどっており、脆弱なドライバーゼロデイ脆弱性マルバタイジング、スピアフィッシングStackOverflowの回答GitHubの問題の偽修正などを介して潜在的な被害者を狙っている。