I ricercatori di Gen Digital hanno individuato un nuovo infostealer, denominato Glove, che può aggirare la protezione introdotta da Google in Chrome 127. Il furto non si limita però ai cookie, ma i cybercriminali cercano di rubare altri dati sensibili. Per ingannare gli utenti vengono usate tattiche di ingegneria sociale, simili a quelle sfruttate per ClickFix.
Protezione poco efficace?
La catena di infezione inizia con l’invio di un’email di phishing. In allegato c’è un file HTML che, quando aperto nel browser, mostra un messaggio di errore. L’utente viene invitato a copiare uno script in PowerShell per risolvere un problema di cache DNS che impedisce di accedere al servizio OneDrive di Microsoft.
In seguito all’esecuzione dello script viene mostrato sullo schermo che è stata avviata la verifica della configurazione DNS. In realtà, lo script scarica Glove sul computer. Il malware viene eseguito e inizia ad estrarre i cookie dai browser più popolari (Chrome, Firefox, Edge, Opera, Brave).
Glove più accedere anche a wallet di criptovalute, token di sessione 2FA, password manager, client email e piattaforme di gaming. Tutti i dati sono quindi aggiunti ad un archivio ZIP e inviati al server C&C (command and control) dei cybercriminali.
Per rubare i cookie da Chrome viene scaricato dal server un modulo .NET che permette di aggirare la protezione App-Bound Encryption, usando il metodo descritto da un ricercatore a fine ottobre. È tuttavia necessario ottenere i privilegi di amministratore per copiare il modulo nella directory di Chrome.