Glove Stealer 避开 Chrome 的应用绑定加密，窃取 Cookie

Glove Stealer 是一个基于 .NET 的信息窃贼，目标是浏览器扩展和本地安装的软件，以窃取敏感数据。该恶意软件可以从感染系统中收集大量数据，包括 Cookie、 autofill、加密货币钱包、2FA 认证器、密码管理器和电子邮件客户端信息。Gen Digital 的研究人员发现该威胁，认为它还在初期开发阶段。

威胁actor 依靠社会工程技巧，如 ClickFix 和 FakeCaptcha，欺骗用户执行恶意脚本，通过 PowerShell 或 Run 提示。Gen Digital 观察到了一场分布 Glove Stealer 的钓鱼campaign。

恶意软件 bypassed Chrome 的应用绑定加密，利用了 IElevator 服务，该方法于 2024 年 10 月被披露。该信息窃贼目标是浏览器、280 个浏览器扩展和超过 80 个应用程序，包括加密货币钱包、2FA 认证器、密码管理器和电子邮件客户端。

研究人员观察到的钓鱼campaign 使用了一个带有 HTML 文件附件的钓鱼邮件。HTML 页面显示了一条假的错误消息，声称一些内容无法正常访问，并提供了解决问题的指令。用户被要求将恶意脚本复制到剪贴板，然后在终端或 Run 提示中执行，系统便会感染。

Glove Stealer 在执行时，伪装成寻找系统错误，同时秘密地与命令和控制（C&C）服务器联系，以收集和泄露数据。为了从基于 Chromium 浏览器的 Cookie 中提取数据，它从 C&C 下载了一个模块，以 bypass App-Bound 加密。这个过程需要恶意软件获取本地管理员权限，以便将模块置于 Chrome 的程序文件目录中，并 bypass 路径验证检查。

Gen Digital 发布的报告中写道：“为了使用从 Chrome 中窃取的数据，Glove Stealer 需要 bypass App-Bound 加密。为了实现这一点，它再次请求原始服务器以获取一个 .NET 负载以完成任务”。这个负载被命名为 zagent.exe，它被下载并 Base64 解码到 Chrome 的程序文件目录中：%PROGRAMFILES%GoogleChromeApplicationzagent.exe

在执行后，该模块使用了一个硬编码的“app_bound_encrypted_key”字符串，用于搜索和检索本地状态文件中存储的 App-Bound 加密密钥：%LOCALAPPDATA%GoogleChromeUser DataLocal State 

Glove Stealer 检索 App-Bound 加密密钥，将其 Base64 解码，并将其存储到名为 chromekey.txt 的文件中，以便自己的使用。然后，它连接到 C2 服务器以确认 bypass 成功（ID=4）。

由于 App-Bound 加密强制路径验证，支持模块必须被置于 Chrome 的程序文件目录中，因此 Glove Stealer 首先需要获取本地管理员权限。

原文始发于微信公众号（黑猫安全）：Glove Stealer 避开 Chrome 的应用绑定加密，窃取 Cookie