Glove Stealer 恶意软件在攻击中利用了最近披露的 App-Bound 加密绕过方法

网络安全软件提供商 Gen Digital 报告称，新发现的信息窃取者可以绕过基于 Chromium 的浏览器中的 App-Bound 加密机制。

该恶意软件用.NET 编写，被称为Glove Stealer，针对多种浏览器和扩展程序，窃取 cookie 和凭证等敏感信息，以及来自加密货币钱包、身份验证器、密码管理器、电子邮件客户端和其他应用程序的数据。

Glove Stealer 之所以脱颖而出，是因为它能够绕过应用程序绑定 (App-Bound) 加密，这是Chrome 127 中为防止 cookie 被盗而引入的 cookie 保护机制。

大约两周前披露的绕过方法依赖于每个浏览器独有的内部基于 COM 的 IElevator 服务来获取和解密必要的密钥。

Edge、Brave 和 Chrome 等 Chromium 浏览器本身都容易受到绕过攻击，Glove Stealer 的目标包括存储在其他浏览器中的数据，如 Opera、Yandex 和 CryptoTab。

Gen 指出：“除了从浏览器窃取私人数据外，它还试图从 280 个浏览器扩展和 80 多个本地安装的应用程序中窃取敏感信息。”

信息窃取程序通过包含 HTML 附件的网络钓鱼电子邮件进行传播，附件打开后会显示虚假错误消息，声称内容无法正确呈现，并提供有关用户如何解决问题的说明。

毫无戒心的受害者被指示复制恶意脚本并在终端或运行提示符中执行。该脚本调用 PowerShell 命令，然后执行多个脚本，最终感染信息窃取程序。

一旦执行，Glove Stealer 就会重复最初的叙述，声称正在系统中搜索错误。然而，在后台，它会连接命令和控制 (C&C) 服务器并开始数据收集和上传。

为了从基于 Chromium 的浏览器中窃取 cookie，该恶意软件从 C＆C 获取一个额外的模块，该模块开始搜索 App-Bound 加密密钥，以绕过保护。

为了使用该模块，Glove Stealer 首先需要获得本地管理权限，从而允许它将模块放置在 Chrome 的 Program Files 目录中并绕过浏览器的路径验证检查。

技术报告：https://www.gendigital.com/blog/news/innovation/glove-stealer

新闻链接：

https://www.securityweek.com/glove-stealer-malware-bypasses-chromes-app-bound-encryption/

讲述普通人能听懂的安全故事