Новый инфостилер Glove обходит шифрование cookies в Chrome

Новый инфостилер Glove обходит шифрование cookies в Chrome

Новый инфостилер Glove обходит шифрование cookies в Chrome

Glove — новая вредоносная программа, которую авторы научили обходить привязанное к софту шифрование, недавно добавленное в Google Chrome. Цель «перчатки» в системе — выкрасть пользовательские данные.

Первыми на киберугрозу обратили внимание специалисты компании Gen Digital. Изучая фишинговую кампанию, исследователи наткнулись на Glove.

По словам экспертов, новый вредонос относительно прост в исполнении, содержит минимальное количество защитных механизмов и обфускации. Всё это указывает на то, что Glove пока находится в стадии разработки.

Операторы зловреда используют методы социальной инженерии, напоминающие те, что уже применялись в кампании ClickFix: жертву обманом заставляли установить в систему инфостилер с помощью фейковых окон с ошибкой и приатаченного к письмам HTML-вложения.

 

Чтобы добраться до учётных данных, сохранённых в Chromium-браузерах, Glove обходит недавно представленное шифрование, привязанное к софту (App-Bound Encryption).

Для этого вредонос задействует метод, описанный в прошлом месяце исследователем в области кибербезопасности Александром Хагенахом. Суть заключается в использовании вспомогательного модуля, который подтягивает службу Chrome в Windows — COM-based IElevator (работает с правами SYSTEM).

Таким способом Glove вытаскивает и расшифровывает ключи App-Bound Encryption. Однако есть нюанс: инфостилеру сначала надо получить на устройстве права локального администратора.

Попав в систему, Glove пытается вытащить cookies, данные криптовалютных кошельков, сессионные токены и пароли из браузеров и имейл-клиентов.

Мошенники заманивают россиян улучшенным Telegram и блокируют iPhone

Мошенники нашли еще один способ заработать на любителях улучшенных версий Telegram. На этот раз жертвам предлагают установить неофициальный клиент мессенджера, после чего блокируют iPhone и требуют деньги за его разблокировку.

Об этом «Газете.Ru» рассказал старший преподаватель кафедры КБ-14 «Цифровые технологии обработки данных» Института кибербезопасности и цифровых технологий РТУ МИРЭА Игорь Котилевец.

По словам эксперта, пользователи Telegram начали замечать в своих аккаунтах предупреждение о том, что они используют неофициальный клиент. Такой баннер появился на фоне распространения сторонних сборок мессенджера, которые могут содержать вредоносный код, шпионские модули или инструменты для сбора пользовательских данных.

Особую опасность представляют приложения с названиями вроде DarkGram, HoloGram, ToxicGram и другими. Пользователю обещают дополнительные функции и стабильную работу, а отсутствие программы в App Store объясняют просто: нужно лишь войти под служебным или временным Apple ID.

Именно здесь и кроется ловушка. Жертве передают логин и пароль от чужой учётной записи Apple. После аутентификации устройство практически сразу блокируется, а на экране появляется сообщение с контактами злоумышленников и требованием заплатить за разблокировку.

Фактически пользователь сам передаёт мошенникам контроль над своим iPhone. Эксперт напоминает, что устанавливать приложения стоит только из официальных магазинов: App Store, Google Play или RuStore. Если программу предлагают скачать по ссылке из мессенджера, чата или стороннего сайта, риск столкнуться с мошенничеством резко возрастает.

Кроме того, стоит обратить внимание на предупреждения самого Telegram. Если в профиле появился баннер о том, что используется неофициальный клиент, это серьёзный повод проверить, какую именно версию приложения вы установили.

RSS: Новости на портале Anti-Malware.ru