Mã độc Glove Infostealer mới vượt qua mã hóa cookie của Google Chrome

Vào ngày 14 tháng 11 năm 2024, các nhà nghiên cứu bảo mật từ Gen Digital đã phát hiện một loại mã độc mới có tên Glove Infostealer. Mã độc này có khả năng vượt qua mã hóa Application-Bound (App-Bound) của Google Chrome để đánh cắp cookie trình duyệt. Đây là một loại mã độc đánh cắp thông tin tương đối đơn giản và chứa ít cơ chế làm rối hoặc bảo vệ, cho thấy nó có thể đang trong giai đoạn phát triển ban đầu.

Cách thức hoạt động của Glove Infostealer

Trong các cuộc tấn công, kẻ tấn công sử dụng các chiến thuật lừa đảo tương tự như chuỗi lây nhiễm ClickFix, nơi nạn nhân tiềm năng bị lừa cài đặt mã độc thông qua các cửa sổ lỗi giả được hiển thị trong các tệp HTML đính kèm email lừa đảo. Mã độc Glove Stealer được viết bằng .NET có thể trích xuất và gửi đi các cookie từ các trình duyệt dựa trên Firefox và Chromium như Chrome, Edge, Brave, Yandex, và Opera.

Ngoài việc đánh cắp dữ liệu từ trình duyệt, Glove Infostealer còn có khả năng đánh cắp ví tiền điện tử từ các tiện ích mở rộng trình duyệt, mã thông báo phiên 2FA từ các ứng dụng xác thực của Google, Microsoft, Aegis, và LastPass, dữ liệu mật khẩu từ Bitwarden, LastPass, và KeePass, cũng như email từ các ứng dụng thư như Thunderbird. Mã độc này cố gắng trích xuất thông tin nhạy cảm từ danh sách 280 tiện ích mở rộng trình duyệt và hơn 80 ứng dụng cài đặt cục bộ.

Khả năng vượt qua mã hóa App-Bound

Để đánh cắp thông tin đăng nhập từ các trình duyệt web Chromium, Glove Stealer vượt qua các biện pháp bảo vệ mã hóa cookie App-Bound của Google, được giới thiệu bởi Chrome 127 vào tháng 7. Nó sử dụng một mô-đun hỗ trợ sử dụng dịch vụ IElevator của Windows (chạy với quyền SYSTEM) để giải mã và truy xuất các khóa mã hóa App-Bound.

Tuy nhiên, mã độc cần có quyền quản trị viên cục bộ trên hệ thống bị xâm nhập để đặt mô-đun này vào thư mục Program Files của Google Chrome và sử dụng nó để truy xuất các khóa mã hóa. Mặc dù phương pháp này có vẻ ấn tượng trên lý thuyết, nhưng nó vẫn chỉ ra rằng Glove Stealer đang trong giai đoạn phát triển ban đầu vì đây là một phương pháp cơ bản mà hầu hết các mã độc đánh cắp thông tin khác đã vượt qua để đánh cắp cookie từ tất cả các phiên bản Google Chrome.

Tình hình hiện tại và cảnh báo

Mặc dù cần quyền quản trị viên để vượt qua mã hóa App-Bound, điều này vẫn chưa làm giảm đáng kể số lượng các chiến dịch mã độc đánh cắp thông tin đang diễn ra. Các cuộc tấn công đã gia tăng kể từ tháng 7 khi Google lần đầu tiên triển khai mã hóa App-Bound, nhắm vào các nạn nhân tiềm năng thông qua các trình điều khiển dễ bị tấn công, lỗ hổng zero-day, quảng cáo độc hại, lừa đảo spearphishing, câu trả lời trên StackOverflow, và các bản sửa lỗi giả trên GitHub.

Tham khảo

1. A clever new infostealer malware is able to easily bypass Google Chrome cookie encryption

2. Glove Stealer Malware Bypasses Chrome’s App-Bound Encryption

3. Glove Stealer: Leveraging IElevator to Bypass App-Bound Encryption & Steal Sensitive Data

4. New Glove infostealer malware bypasses Chrome’s cookie encryption