Glove Stealer Malware
Glove Stealer マルウェアは、サイバー脅威の分野に最近加わったもので、Google Chrome のアプリケーション バウンド (App-Bound) 暗号化を回避する機能が特徴です。フィッシング キャンペーンの調査中にサイバー セキュリティ研究者によって初めて特定されたこの脅威は、悪意のある行為者とセキュリティ ソリューション間の軍拡競争における極めて重要な瞬間を表しています。
Glove Stealer の特徴は、比較的単純な構造であることです。難読化や防御メカニズムが最小限に抑えられており、開発の初期段階であることがわかります。しかし、そのシンプルさがその潜在能力を損なうものではありません。このマルウェアは新たな課題をもたらし、その進化が間近に迫っていることを示しています。
目次
ソーシャルエンジニアリング:感染の起点
Glove Stealer を展開する感染チェーンは、ClickFix キャンペーンで使用されたものと似たソーシャル エンジニアリング戦術に依存しています。被害者は、エラー ウィンドウをシミュレートする不正な HTML 添付ファイルを含むフィッシング メールによって誘い出されます。ユーザーがこれらのプロンプトを操作すると、マルウェアのインストール プロセスが無意識のうちにトリガーされ、機密情報の流出の舞台が整います。
標的のシステムに侵入すると、Glove Stealer は Chrome、Edge、Brave、Yandex、Opera などの一般的なブラウザからクッキーを素早く抽出することでその効果を発揮します。その影響範囲はブラウザにとどまらず、Firefox ユーザーも標的にしており、多用途な攻撃戦略を示しています。
多機能なデータ窃盗犯
Glove Stealer の際立った特徴の 1 つは、さまざまなソースからデータを抽出できることです。このマルウェアは、次のようなデータを収集することに長けています。
- ブラウザ クッキー:初期データ収集の主なターゲットであり、攻撃者が認証されたセッションを乗っ取るのに役立ちます。
- 暗号通貨ウォレット:ブラウザ拡張機能からウォレット データを抽出します。これはデジタル通貨保有者にとって大きな懸念事項です。
- 2FA トークン:これらのトークンは、Google、Microsoft、Aegis、LastPass などの認証アプリケーションからのセッションをターゲットにし、重要なセキュリティ層を危険にさらします。
- パスワード データ: Bitwarden、KeePass、LastPass などのパスワード マネージャーに保存されている資格情報を盗みます。
- 電子メール:メール クライアント (特に Thunderbird) を侵害して、機密性の高い通信にアクセスします。
これら以外にも、Glove Stealer は 280 を超えるブラウザ拡張機能と約 80 のローカルにインストールされたアプリケーションをターゲットにしており、暗号通貨ウォレット、電子メール クライアント、認証ツールに重点を置いています。
アプリバインド暗号化の回避: 技術的な優位性
Glove Stealer の最も重要な進歩の 1 つは、Chrome の App-Bound 暗号化をバイパスできることです。Chrome 127 で導入されたこのセキュリティ機能は、ブラウザの Cookie を不正アクセスから保護するために設計されました。Glove Stealer は、SYSTEM 権限で動作する Chrome の COM ベースの IElevator Windows サービスを使用して、特定のモジュールを利用してこれを実現し、App-Bound 暗号化キーを復号化して取得します。
ただし、この手法では、Chrome の Program Files ディレクトリ内にモジュールを埋め込むために、侵害されたシステム上でローカル管理者権限が必要です。これは最初のハードルとなりますが、多くの攻撃者はエクスプロイト チェーンやソーシャル エンジニアリング戦術を通じて、これらの権限要件を回避する方法を見つけています。
馴染みのある戦略に新しい名前が付けられる
Glove Stealer が暗号化を回避するために使用する方法は、まったく新しいものではありません。アナリストは、Chrome が初めて App-Bound 暗号化を導入した後に登場した以前の情報窃盗マルウェアと、そのアプローチに類似点があることを指摘しています。これは、マルウェア開発者が新しいセキュリティ対策を回避するために既存の手法を改良しているという傾向を強調しています。管理者権限が必要であるにもかかわらず、Glove Stealer がこのバイパスを採用していることは、開発者がこれをより高度な情報収集マルウェアと同等にすることを目指していることを示しています。
拡大する脅威の状況
7 月に Chrome のアプリバウンド暗号化が導入されて以来、情報窃盗キャンペーンの件数に大きな減少は見られません。実際、攻撃はより巧妙になり、次のようなさまざまな方法で被害者を狙っています。
- マルバタイジングとスピアフィッシング: 欺瞞的な広告と標的型フィッシングを利用して被害者を罠にかけます。
- 脆弱性の悪用: ゼロデイ攻撃と脆弱なドライバーを使用してセキュリティ プロトコルを回避します。
- 欺瞞的なオンライン戦術: StackOverflow ソリューションと GitHub の問題への応答にマルウェアを偽装する。
このような攻撃が継続的に成功していることは、強力な暗号化対策を講じても、攻撃意欲のある攻撃者を単独で阻止することはできないことを示しています。Glove Stealer は、新しいセキュリティ実装をすぐに悪用して回避する脅威アクターの適応能力の高さを証明しています。
今後の道
Glove Stealer は開発の初期段階にあり、バイパスの手法も基本的なため、現時点での影響は限定的であると思われますが、その存在はマルウェアの機能が進化しているという幅広い傾向を示しています。この脅威が進化し続けると、より洗練された手法を取り入れて、その影響範囲と効果を拡大する可能性があります。
サイバーセキュリティの専門家にとって、Glove Stealer のような脅威の出現を理解することは非常に重要です。情報を入手して警戒を怠らず、エンドポイント防御を更新し、フィッシングやソーシャル エンジニアリングの戦術を識別する方法についてユーザーを教育することは、新たな脅威から身を守るための重要なステップです。
Glove Stealer の旅はまだ始まったばかりかもしれませんが、セキュリティ対策に挑戦し、サイバーセキュリティのさらなる革新を促す準備が整っています。
