Glove Stealer koristi taktike društvenog inžinjeringa
Zlonamjerni softver poznat kao Glove Stealer je sofisticirani alat za krađu informacija koji prvenstveno cilja na proširenja internet pregledača i lokalno instaliran softver za krađu osjetljivih podataka iz inficiranih sistema. Ovaj zlonamjerni softver, u svojoj ranoj fazi razvoja, prema sigurnosnim istraživačima kompanije Gen Digital, koristi taktike društvenog inženjeringa kao što su ClickFix i FakeCaptcha da obmane korisnike da izvrše štetne skripte preko PowerShell ili Run upita.
GLOVE STEALER
Glove Stealer je kradljivac informacija zasnovan na .NET okruženju koji je primijećen u nedavnim phishing kampanjama, koristeći taktike društvenog inženjeringa kao što su ClickFix i FakeCaptcha da bi prevarili potencijalne žrtve da izvrše zlonamjerne skripte preko PowerShell ili Run upita. Zlonamjerni akteri koriste ove taktike pod maskom pomoći korisnicima, dok u stvarnosti krišom inficiraju njihove uređaje.
Glove Stealer koristi novu tehniku da zaobiđe Chrome šifrovanje vezano za aplikacije (eng. App-Bound), omogućavajući mu da ukrade kolačiće pregledača. Zlonamjerni softver cilja različite internet pregledače uključujući Chrome, Firefox, Edge, Brave i druge uz potencijal da prikupi veliku količinu podataka iz kompromitovanih sistema, uključujući kolačiće, informacije o automatskom popunjavanju, novčanike za kriptovalute, 2FA autentifikatore, menadžere lozinki, detalje o klijentima elektronske pošte i još mnogo toga.
Funkcionisanje
Zlonamjerni akteri se često maskiraju u legitimne subjekte kao što su timovi tehničke podrške, banke ili popularne internet usluge. Oni šalju ciljane elektronske poruke koje sadrže zlonamjerne veze ili priloge koji, kada se kliknu ili preuzmu, instaliraju Glove Stealer na uređaje žrtava.
Taktike društvenog inženjeringa zlonamjernog softvera su osmišljene da navedu korisnike da pomisle da sami sebi pomažu dok u stvarnosti nesvjesno inficiraju svoje uređaje prateći uputstva koja su dali zlonamjerni akteri. Na primjer, ClickFix je taktika u kojoj zlonamjerni akter šalje elektronsku poštu u kojoj tvrdi da postoji problem sa korisničkim nalogom i daje vezu da ga popravi. Veza vodi korisnike do zlonamjerne internet lokacije na kojoj se od njih traži da preuzmu i izvrše skriptu ili instaliraju lažno ažuriranje, čime zaraze svoje uređaje Glove Stealer zlonamjernim softverom.
Druga taktika koju koristi Glove Stealer je FakeCaptcha. U ovom scenariju, korisnik naiđe na Captcha dok pristupa legitimnoj internet stranici, ali umjesto uobičajene Captcha provjere zasnovane na slikama, prikazuje mu se obrazac koji treba da popuni. Obrazac traži osjetljive informacije kao što su akreditivi za prijavu ili podaci o kreditnoj kartici, koje zatim prikuplja Glove Stealer ako ih unese korisnik koji ništa ne sumnja.
Jednom instaliran, zlonamjerni softver počinje svoje operacije krađe podataka bez ikakve dalje interakcije korisnika. Jedan od primarnih ciljeva Glove Stealer zlonamjernog softvera je da prvo stekne privilegije lokalnog administratora, što mu omogućava da koristi pomoćni modul koji koristi uslugu IElevator da zaobiđe šifrovanje vezano za aplikaciju. Ova tehnika omogućava zlonamjernom softveru da ukrade kolačiće iz popularnih internet pregledača. Prikupljeni podaci se skladište u dvije opsežne liste: jedna predstavlja lokalno instalirane aplikacije i druga koja predstavlja proširenja internet pregledača. To uključuje proširenja novčanika za kriptovalute, 2FA autentifikatore, menadžere lozinki, klijente elektronske pošte i još mnogo toga.
Proces eksfiltracije podataka uključuje nekoliko koraka: prekidanje procesa pregledača za pristup podacima, raščlanjivanje i čuvanje ukradenih informacija u namjenskim tekstualnim datotekama, prikupljanje podataka o digitalnom otisku (eng. fingerprint) uređaja, kompresovanje i šifrovanje ukradenih podataka. Kako bi poboljšao prikrivenost svojih operacija, Glove Stealer kompresuje i šifruje ukradene podatke koristeći 3DES šifru prije nego što ih pošalje na server za komandu i kontrolu (C&C). Ova mjera otežava sigurnosnim istraživačima i analitičarima bezbjednosti da dešifruju sadržaj eksfiltriranih podataka.
Da bi izbjegao šifrovanje vezano za aplikaciju, Glove Stealer koristi prateći modul pod nazivom “zagent.exe”. Ovaj modul je odgovoran za zaobilaženje Chrome bezbjednosnih mjera, omogućavajući zlonamjernom softveru da neotkriveno obavlja svoje zle aktivnosti. Primjetno je da, pošto šifrovanje vezano za aplikaciju takođe obavlja provjeru putanje za lokaciju procesa pozivaoca, ovaj modul podrške mora da se postavi u Chrome Program Files direktorijumu. Kao rezultat toga, Glove Stealer mora prvo da stekne privilegije lokalnog administratora da bi koristio ovaj modul podrške.
Uticaj
Za korisnike je važno da razumiju da se mogućnosti Glove Stealer zlonamjernog softvera protežu dalje od puke krađe informacija iz internet pregedača i lokalno instaliranih aplikacija. U nekim slučajevima, primijećeno je da cilja usluge skladištenja u oblaku kao što su Dropbox, Google Drive, OneDrive i drugi. Pristupajući ovim nalozima, zlonamjerni akteri mogu eksfiltrirati još osjetljivije podatke, potencijalno nanijevši nepopravljivu štetu ličnom i profesionalnom životu žrtava.
Iako sigurnosni istraživači vjeruju da je Glove Stealer zlonamjerni softver još uvijek u ranoj fazi razvoja, to ne umanjuje značaj da korisnici budu oprezni i preduzmu neophodne mjere predostrožnosti kako bi zaštitili svoju digitalnu imovinu. Sposobnost zlonamjernog softvera da ukrade osjetljive podatke u više internet pregledača i aplikacija čini ga značajnom prijetnjom koja zahteva ozbiljnu pažnju.
ZAKLJUČAK
Glove Stealer zlonamjerni softver je sofisticirani alat za krađu informacija koji koristi taktiku društvenog inženjeringa za zarazu uređaja i krađu osjetljivih podataka iz internet pregledača i lokalno instaliranih aplikacija. Njegova jedinstvena sposobnost da zaobiđe šifrovanje vezano za aplikaciju čini ga posebno opasnim, jer može izbjeći otkrivanje i ukrasti kolačiće, lozinke i druge vrijedne informacije. Njegova upotreba taktika društvenog inženjeringa kao što su ClickFix i FakeCaptcha čini ga posebno podmuklim, jer korisnici mogu nesvjesno zaraziti svoje uređaje prateći naizgled bezopasna uputstva koja su dali zlonamjerni akteri.
Kako zlonamjerni akteri nastavljaju da usavršavaju svoje taktike i razvijaju nove prijetnje, ključno je i za korisnike i za sigurnosne istraživače da ostanu na oprezu i budu informisani o najnovijim dešavanjima u svetu sajber bezbjednosti. Radeći zajedno, moguća je zaštiti se od ovih prijetnji koje se stalno razvijaju i moguće je održavati digitalnu bezbjednost u svetu koji je sve povezaniji.
ZAŠTITA
Kako bi zaštitili svoju privatnost i bezbjednost, korisnici i organizacije moraju razumjeti ovu prijetnju i primijetiti robusne zaštitne mjere. U nastavku slijedi nekoliko preporuka:
- Redovno ažurirati operativni sistem, internet pregledače i druge softverske aplikacije, jer ažuriranja često uključuju ispravke za poznate ranjivosti koje zlonamjerni softver kao što je Glove Stealer može da iskoristi,
- Koristiti renomirani antivirusni softver i održavajte ga ažuriranim da bi se zaštitili od potencijalnih prijetnji kao što je Glove Stealer. Sprovoditi redovno skeniranje sistema u potrazi za sumnjivim datotekama ili aktivnostima,
- Biti oprezan sa phishing pokušajima. Primjenjivati oprez prilikom otvaranja elektronske pošte, posebno one od nepoznatih pošiljalaca. Ne klikati na veze ili preuzimati priloge osim ako ne postoji sigurnost da su bezbjedni,
- Koristiti složene lozinke koje uključuju mješavinu slova, brojeva i simbola. Razmislite o korištenju menadžera lozinki za bezbjedno praćenje i skladištenje lozinki,
- Omogućiti autentifikaciju u dva koraka (eng. two-factor authentication – 2FA), jer to dodaje još jedan sigurnosti tako što zahteva drugi oblik verifikacije pored lozinke prilikom prijave na osjetljive naloge,
- Primjenjivati oprez prilikom posjeta internet lokacijama, posebno onim koje izgledaju sumnjivo ili nepoznato. Zlonamjerni softver se može širiti preko inficiranih internet lokacija, pa je važno da se posjećuju samo pouzdane internet lokacije,
- Uvjeriti se da je internet pregledač podešen da se automatski ažurira i razmisliti o korišćenju bezbjednog pregledača sa ugrađenom zaštitom od zlonamjernog softvera. Redovno brisati istoriju pregledanja, kolačiće i keš memoriju,
- Preuzimati samo softver ili datoteke iz pouzdanih izvora. Biti oprezan sa besplatnim softverom, jer može sadržati skriveni zlonamjerni softver. Ako je moguće, provjeriti integritet datoteke pomoću alata kao što je VirusTotal sigurnosna platforma pre njenog otvaranja,
- Potrebno je biti informisan o najnovijim prijetnjama i trendovima u sajber bezbjednosti. Ovo može pomoći da se prepoznaju potencijalne prijetnje i da se preduzmu odgovarajuće mjere za zaštitu sebe i drugih,
- Redovno praviti rezervne kopije važnih podataka na eksternom disku ili servisu za skladištenje u oblaku. U slučaju uspješnog napada, skorašnja rezervna kopija može pomoći da se smanje gubici,
- Ograničite broj korisnika sa administratorskim privilegijama i izbjegavati korištenje administratorskih privilegija za svakodnevne zadatke, jer pružaju više nivoe pristupa koje zlonamjerni softver poput Glove Stealer kradljivca informacija može da iskoristi,
- Ako je moguće, koristiti izolovana okruženja (eng. sandbox) za testiranje nepoznatih datoteka ili softvera prije nego što se otvore glavnom sistemu. Ovo može pomoći u sprečavanju širenja zlonamjernog softvera ako je datoteka zaražena,
- U slučaju otkrivanja bilo kakve sumnjive aktivnosti ili u slučaju sumnje da je uređaj zaražen korisnike treba podstaknuti da to odmah prijave svom IT odjeljenju radi istrage i sanacije.
Preduzimanjem ovih mjera, pojedinci mogu značajno da smanje rizik da postanu žrtve zlonamjernog softvera koji krade informacije kao što je Glove Stealer.