Được viết bằng nền tảng .NET và có tên là “Glove Stealer”, phần mềm độc hại này nhắm mục tiêu vào nhiều trình duyệt và tiện ích mở rộng để đánh cắp thông tin nhạy cảm, ví dụ như cookie và thông tin đăng nhập, cùng với dữ liệu từ ví tiền điện tử, trình xác thực, trình quản lý mật khẩu, ứng dụng email và các ứng dụng khác.
Theo các nhà nghiên cứu bảo mật của Gen Digital, phần mềm độc hại này tương đối đơn giản và có cơ chế che giấu hoặc bảo vệ tối thiểu, cho thấy rất có thể nó đang trong giai đoạn phát triển ban đầu.
Tuy nhiên, điều khiến Glove Stealer nổi bật hơn hẳn là khả năng vượt qua mã hóa liên kết ứng dụng (App-Bound), cơ chế bảo vệ cookie được giới thiệu trong Chrome 127 để ngăn chặn hành vi đánh cắp thông tin.
Các trình duyệt Chromium như Edge, Brave và Chrome đều dễ dàng bị Glove Stealer vượt qua, nhưng đáng chú ý, phần mềm độc hại này còn nhắm vào dữ liệu được lưu trữ trong các trình duyệt khác, bao gồm Opera, Yandex và CryptoTab.
Glove Stealer cũng có khả năng đánh cắp ví tiền điện tử từ tiện ích mở rộng của trình duyệt, mã thông báo phiên 2FA từ các ứng dụng xác thực Google, Microsoft, Aegis và LastPass, dữ liệu mật khẩu từ Bitwarden, LastPass và KeePass, cũng như email từ các ứng dụng mail như Thunderbird.
Gen lưu ý rằng: “Ngoài việc đánh cắp dữ liệu riêng tư từ trình duyệt, Glove Stealer còn cố gắng đánh cắp thông tin nhạy cảm từ danh sách 280 tiện ích mở rộng của trình duyệt và hơn 80 ứng dụng được cài đặt cục bộ”.
Phần mềm độc hại này được phát tán qua email lừa đảo có chứa tệp đính kèm HTML, khi mở ra sẽ hiển thị thông báo lỗi giả mạo cho rằng nội dung không thể hiển thị đúng cách và cung cấp hướng dẫn về cách người dùng có thể khắc phục sự cố.
Mẫu tệp đính kèm HTML ClickFix
Nạn nhân không nghi ngờ gì được hướng dẫn sao chép một tập lệnh script độc hại và thực thi nó trong Terminal hoặc Run prompt. Script này sẽ gọi lệnh PowerShell, sau đó thực thi một số tập lệnh khác. Ở chế độ background, Glove Stealer liên lạc với máy chủ điều khiển và ra lệnh (C2) và bắt đầu thu thập dữ liệu và thực hiện quy trình đánh cắp dữ liệu.
Để đánh cắp cookie từ các trình duyệt dựa trên Chromium, phần mềm độc hại này sẽ lấy một môđun bổ sung từ C2, bắt đầu tìm kiếm khóa mã hóa App-Bound nhằm vượt qua lớp bảo vệ.
Để sử dụng môđun, trước tiên Glove Stealer phải có được quyền quản trị cục bộ trên hệ thống bị xâm phạm để cho phép đặt môđun vào thư mục Program Files của Chrome, sử dụng nó để lấy các khóa được mã hóa và bỏ qua các kiểm tra xác thực đường dẫn của trình duyệt.
Mặc dù vậy, điều này vẫn chỉ ra rằng Glove Stealer đang trong giai đoạn phát triển ban đầu vì đây là phương pháp cơ bản mà hầu hết các trình đánh cắp thông tin khác đã vượt qua để đánh cắp cookie từ mọi phiên bản Google Chrome.
Nguyễn Đức Huy
13:00 | 16/12/2024
08:00 | 05/11/2024
15:00 | 19/12/2024
10:00 | 30/08/2024
09:00 | 02/08/2024
08:00 | 02/01/2025
Mới đây, hãng bảo mật McAfee đã phát hiện một ứng dụng độc hại có chứa mã gián điệp trên Amazon Appstore. Theo thông tin được công bố, ứng dụng độc hại dùng để tính chỉ số khối cơ thể (BMI) nhưng lại được cài cắm phần mềm gián điệp, có khả năng ghi lại màn hình và truy cập danh sách các ứng dụng của người dùng.
10:00 | 04/11/2024
Tại Hội nghị thượng đỉnh phân tích bảo mật 2024, nhóm nghiên cứu và phân tích toàn cầu của Kaspersky (GReAT) tiết lộ, các vụ tấn công do mã độc Grandoreiro gây ra nhắm tới hơn 1.700 ngân hàng, chiếm 5% tổng số vụ tấn công bằng trojan vào các ngân hàng trong năm nay.
10:00 | 30/10/2024
Vụ việc hàng nghìn máy nhắn tin và các thiết bị liên lạc khác phát nổ ở Liban hồi tháng 9 đã gióng lên hồi chuông cảnh báo về phương thức tấn công chuỗi cung ứng mới vô cùng nguy hiểm, đánh dấu sự leo thang mới trong việc sử dụng chuỗi cung ứng chống lại các đối thủ. Điều này đã đặt ra yêu cầu cấp bách cho các nhà lãnh đạo toàn cầu về việc giảm phụ thuộc vào công nghệ từ các đối thủ.
12:00 | 03/10/2024
Mới đây, các chuyên gia bảo mật tại Kaspersky phát hiện ra 2 phần mềm có chứa mã độc Necro trên cửa hàng ứng dụng Play Store của Google. Đáng chú ý, 2 phần mềm độc hại này đã có tới hơn 11 triệu lượt tải xuống trước khi được các chuyên gia phát hiện.
Trong thời đại kỹ thuật số, dữ liệu và thông tin cá nhân được xem như nguồn tài nguyên vô cùng quan trọng, đó là lý do tin tặc luôn tìm cách đánh cắp dữ liệu người dùng. Theo một báo cáo của công ty an ninh mạng CloudSEK (Ấn Độ), tin tặc đã đánh cắp lượng dữ liệu người dùng khổng lồ trong năm 2024.
12:00 | 14/01/2025