Le nouveau malware Glove Stealer peut contourner le cryptage lié à l’application de Google Chrome (lié à l’application) pour voler les cookies du navigateur.
Comme l’ont dit les chercheurs en sécurité numérique de Gen qui l’ont repéré pour la première fois lors d’une enquête sur une récente campagne de phishing, ce malware volant des informations est « relativement simple et contient un minimum de mécanismes d’obscurcissement ou de protection », indiquant qu’il en est très probablement à ses premiers stades de développement.
Au cours de leurs attaques, les auteurs de la menace ont utilisé des tactiques d’ingénierie sociale similaires à celles utilisées dans la chaîne d’infection ClickFix, où les victimes potentielles sont amenées à installer des logiciels malveillants à l’aide de fausses fenêtres d’erreur affichées dans les fichiers HTML joints aux e-mails de phishing.
Le malware Glove Stealer. NET peut extraire et exfiltrer les cookies de Firefox et des navigateurs basés sur Chromium (par exemple, Chrome, Edge, Brave, Yandex, Opera).
Il est également capable de voler des portefeuilles de crypto-monnaie à partir d’extensions de navigateur, des jetons de session 2FA des applications d’authentification Google, Microsoft, Aegis et LastPass, des données de mot de passe de Bitwarden, LastPass et KeePass, ainsi que des e-mails de clients de messagerie comme Thunderbird.
« Outre le vol de données privées des navigateurs, il tente également d’exfiltrer des informations sensibles d’une liste de 280 extensions de navigateur et de plus de 80 applications installées localement », a déclaré le chercheur en logiciels malveillants Jan Rubín.
« Ces extensions et applications impliquent généralement des portefeuilles de crypto-monnaie, des authentificateurs 2FA, des gestionnaires de mots de passe, des clients de messagerie et autres. »
Capacités de contournement de chiffrement de base liées à l’application
Pour voler les informations d’identification des navigateurs Web Chromium, Glove Stealer contourne les défenses de vol de cookies de cryptage liées aux applications de Google, qui ont été introduites par Chrome 127 en juillet.
Pour ce faire, il suit la méthode décrite par le chercheur en sécurité Alexander Hagenah le mois dernier, en utilisant un module de support qui utilise le propre service Windows IElevator basé sur COM de Chrome (fonctionnant avec des privilèges SYSTÈME) pour déchiffrer et récupérer les clés chiffrées liées à l’application.
Il est important de noter que le logiciel malveillant doit d’abord obtenir des privilèges d’administrateur local sur les systèmes compromis pour placer ce module dans le répertoire Program Files de Google Chrome et l’utiliser pour récupérer des clés cryptées.
Cependant, bien qu’impressionnant sur le papier, cela indique toujours que Glove Stealer en est à ses débuts, car c’est une méthode de base que la plupart des autres voleurs d’informations ont déjà dépassée pour voler des cookies de toutes les versions de Google Chrome, comme l’a déclaré le chercheur g0njxa à Breachtrace en octobre.
L’analyste de logiciels malveillants Russian Panda a précédemment déclaré à Breachtrace que la méthode de Hagenah ressemblait aux premières approches de contournement adoptées par d’autres logiciels malveillants après la première implémentation par Google du cryptage lié à l’application Chrome.
Plusieurs opérations malveillantes d’infostealer sont désormais capables de contourner la nouvelle fonctionnalité de sécurité pour permettre à leurs « clients » de voler et de déchiffrer les cookies de Google Chrome.
« Ce code [de xaitax] nécessite des privilèges d’administrateur, ce qui montre que nous avons réussi à augmenter le nombre d’accès requis pour réussir ce type d’attaque », a déclaré Google à Breachtrace le mois dernier.
Malheureusement, même si des privilèges d’administrateur sont nécessaires pour contourner le cryptage lié à l’application, cela n’a pas encore réduit le nombre de campagnes de logiciels malveillants de vol d’informations en cours.
Les attaques n’ont augmenté que depuis juillet, lorsque Google a mis en œuvre pour la première fois le cryptage lié aux applications, ciblant les victimes potentielles via des pilotes vulnérables, des vulnérabilités zero-day, des publicités malveillantes, du spearphishing, des réponses StackOverflow et de fausses corrections aux problèmes de GitHub.