Sicurezza Informatica
Malware Glove Stealer bypassa la criptazione dei cookie di Google Chrome
Glove Stealer: il nuovo malware capace di bypassare la criptazione dei cookie di Google Chrome, minacciando browser, portafogli e dati sensibili.
L’ultima minaccia informatica, identificata come Glove Stealer, rappresenta una nuova sfida per la sicurezza dei browser. Questo malware, sviluppato in .NET, è capace di bypassare la criptazione app-bound introdotta da Google Chrome, rubando cookie e dati sensibili da browser e applicazioni.
Introduzione del malware e tecniche di attacco
Scoperto dagli esperti di sicurezza di Gen Digital, Glove Stealer è attualmente in una fase iniziale di sviluppo. La sua architettura è semplice, con una bassa obfuscazione, ma già dimostra capacità significative. Gli attacchi iniziano con campagne di phishing che utilizzano tecniche di ingegneria sociale simili al noto metodo “ClickFix“. Queste truffe inducono le vittime a installare il malware attraverso finestre di errore false contenute in file HTML allegati a email ingannevoli.
Capacità di furto dati
Glove Stealer è progettato per:
- estrazione ed esfiltrazione di cookie dai browser basati su chromium come Chrome, Edge, Brave e Opera, oltre che da Firefox;
- furto di portafogli di criptovalute conservati in estensioni del browser;
- sottrazione di token di autenticazione 2FA da app come Google Authenticator e LastPass;
- accesso a dati conservati in gestori di password come Bitwarden e KeePass;
- rubare email da client come Thunderbird.
In aggiunta, il malware può accedere a dati sensibili da oltre 280 estensioni del browser e più di 80 applicazioni installate localmente.
Come Glove Stealer bypassa la criptazione app-bound
La criptazione app-bound, introdotta con Chrome 127, è progettata per proteggere i cookie. Glove Stealer supera questa barriera seguendo un metodo documentato di recente che sfrutta il servizio Windows IElevator di Chrome, operante con privilegi di sistema, per decifrare le chiavi crittografate. Tuttavia, l’implementazione richiede che il malware ottenga privilegi di amministratore sul sistema compromesso, un requisito che eleva la complessità dell’attacco.
Il contesto degli attacchi informatici
Sebbene l’uso di privilegi amministrativi renda teoricamente più sicura la criptazione app-bound, l’efficacia degli attacchi con Glove Stealer sottolinea le crescenti minacce rappresentate dai malware infostealer. Gli attacchi, da luglio, sono aumentati nonostante le contromisure, utilizzando exploit su driver vulnerabili, malvertising e spear phishing.