Hırsızlar, öncelikle AV araçları tarafından tespit edilmekten kaçınmak ve kullanıcıdan gizli kalmak için gizli olacak şekilde tasarlanmıştır.
Çok sayıda karmaşık taktiğin birleşimi, hırsızların son derece uyumlu olmasını ve siber güvenlik savunmaları açısından sürekli zorlayıcı olmasını sağlıyor. Tehdit aktörlerinin bile en çok gelişmişliklerinden dolayı hırsızları tercih etmesi yeterli değil.
Son kimlik avı kampanyalarında Glove Stealer adlı yeni bir bilgi hırsızlığı yapan kötü amaçlı yazılım keşfedildi.
Bu gelişmiş kötü amaçlı yazılım, kullanıcıları kendi cihazlarına bulaştırmaları için kandırmak amacıyla ClickFix ve FakeCaptcha gibi sosyal mühendislik taktiklerini kullanıyor.
GenDigital’deki araştırmacılar, genellikle HTML eki içeren bir kimlik avı e-postasıyla başlayan kampanyayı keşfetti.
Bu ek açıldığında, sahte bir hata mesajı görüntüleniyor ve kullanıcılardan kötü amaçlı bir komut dosyasını kopyalayıp yürütmeleri isteniyor. Genellikle var olmayan bir soruna çözüm olarak gizlenen bu komut dosyası, sonuçta Glove Stealer kötü amaçlı yazılımını indirir ve yükler.
Free Ultimate Continuous Security Monitoring Guide - Download Here (PDF)
Eldiven Hırsızı
.NET’te yazılan Glove Stealer, çeşitli kaynaklardan hassas verileri sızdırmak için tasarlanmıştır:
- Web tarayıcıları (Chrome, Firefox, Edge, Brave ve diğerleri)
- 280 tarayıcı uzantısı
- 80’den fazla yerel olarak kurulu uygulama
Kötü amaçlı yazılım, kripto para cüzdanlarını, 2FA kimlik doğrulayıcılarını, şifre yöneticilerini, e-posta istemcilerini ve diğer hassas uygulamaları hedef alıyor.
Glove Stealer’ın en dikkate değer özelliklerinden biri, Google’ın Chrome 127’de sunduğu bir güvenlik önlemi olan Uygulamaya Bağlı Şifrelemeyi atlama yeteneğidir. Kötü amaçlı yazılım bunu yakın zamanda Alexander Hagenah tarafından Ekim 2024’te açıklanan bir yöntem olan IElevator hizmetini kullanarak başarıyor.
Bunun yanı sıra, veri sızdırma işlemi için aşağıdakileri yapar: –
- Verilere erişmek için tarayıcı işlemlerini sonlandırır
- Çalınan bilgileri özel metin dosyalarında ayrıştırır ve saklar
- Cihaz parmak izi verilerini toplar
- Çalınan verileri 3DES şifrelemesini kullanarak sıkıştırır ve şifreler
- Şifrelenmiş paketi bir komut ve kontrol (C&C) sunucusuna gönderir
Glove Stealer, Uygulamaya Bağlı şifrelemeden kaçınmak için “zagent.exe” adlı destekleyici bir modül kullanırken, bu modül: –
- Chrome’un Program Dosyaları dizinine indirilir ve yürütülür
- Uygulamaya Bağlı şifreleme anahtarını Chrome’un yerel durum dosyasından alır
- Glove Stealer’ın erişmesi için kodu çözülmüş anahtarı ayrı bir dosyada saklar
Bu modülün kullanımı, kötü amaçlı yazılımın karmaşık yaklaşımını vurgulayan yerel yönetici ayrıcalıkları gerektirir.
Glove Stealer, kullanıcı gizliliği ve güvenliği için önemli bir tehdit oluşturuyor. Uygulamaya Bağlı şifrelemeyi atlama ve çok çeşitli hassas veri kaynaklarını hedefleme yeteneği, onu zorlu bir rakip haline getiriyor.
Kullanıcılar, kimlik avı girişimlerine karşı dikkatli olmalı ve algılanan sorunlara çözüm sunuyor gibi görünseler bile bilinmeyen komut dosyalarını çalıştırmaktan veya şüpheli talimatları izlemekten kaçınmalıdır.
IoC’ler
Analyze Unlimited Phishing & Malware with ANY.RUN For Free - 14 Days Free Trial.