Glove Stealer: l'infostealer che colpisce Google Chrome

Emersa una nuova minaccia capace di aggirare la crittografia di Chrome, per appropriarsi di una vasta gamma di dati sensibili degli utenti.

Nel panorama informatico odierno non è raro assistere alla messa a punto di minacce in grado di superare agevolmente tutte le contromisure adottate sia dal sistema operativo, che dai browser. Ciò avviene in quanto la loro complessità e le loro doti di camuffamento vengono rese sempre più efficaci da parte dei cybercriminali.
I nostri dati sensibili e le nostre identità digitali sono nuovamente messe a rischio dalla crescente attività di clipper, keylogger e infostealer. Questo perché si tratta di merce preziosa per gli attori malevoli, ansiosi di appropriarsene non solo per un proprio ricavo economico, ma anche per poter affinare le loro tecniche di attacco.

Molto spesso questi attacchi prendono di mira i browser più popolari e maggiormente installati dagli utenti, in quanto gli attori malevoli devono assicurarsi sia un’ampia area di azione, che maggiori chance di successo. Di certo in questo frangente quello maggiormente diffuso è senza dubbio Google Chrome, il browser che più di una volta si è dimostrato sprovvisto delle misure di sicurezza necessarie a proteggere i dati degli utenti. Senza alcuna sorpresa è proprio lui il bersaglio prediletto della minaccia oggetto di questo articolo. Stiamo parlando di Glove Stealer, un infostealer di nuova generazione che prende di mira i nostri dati memorizzati nei cookies di Google Chrome.

Ma come sempre, andiamo con ordine e affrontiamo per gradi l’argomento.

Chi è Glove Stealer?
Come funziona Glove Stealer?
Come proteggersi da un infostealer?

Chi è Glove Stealer?

Apparso sulle scene a inizio novembre 2024, Glove Stealer è una minaccia in costante aggiornamento, capace di bypassare la crittografia App-Bound proprietaria di Google. Il suo obiettivo primario è appropriarsi dei cookie di navigazione e di sessione memorizzati all’interno del browser. Stando alle analisi condotte dai ricercatori di Gen Digital, i primi a scoprirlo, Glove Stealer è essenzialmente un malware diffuso attraverso una nuova campagna di phishing. Gli elementi che balzano immediatamente agli occhi sono la sua natura relativamente semplice e i moduli di protezione e offuscamento ridotti all’osso.
La cosa lascia supporre che si tratti di una minaccia ancora in fase di sviluppo, ma che ben presto potrebbe finire per diventare un pericolo serio.

Alla data di stesura di questo articolo, i suoi autori restano ignoti, ma hanno già dimostrato le loro doti nell’applicazione di tattiche di ingegneria sociale.
Questo perché la diffusione di Glove Stealer è frutto di un approccio non molto diverso da quanto si è osservato nella campagna di malspam ClickFix. Anche in questo caso, le vittime sono indotte a installare il malware attraverso il pop up improvviso di finti messaggi di errore, contenuti in file HTML malevoli allegati alle e-mail di phishing.

Dalle analisi condotte dagli esperti, è emerso che Glove Stealer prende principalmente di mira i browser basati su Chromium, ovvero:

Google Chrome;
Microsoft Edge;
Brave;
Opera GX;
Yandex;

Al furto dei cookie si aggiunge anche la capacità di impossessarsi dei portafogli di criptovalute, partendo direttamente dalle estensioni del browser. A questo si aggiungono anche i furti dei token di sessione 2FA usati nelle applicazioni di autenticazione di Google, Microsoft Authenticator, Aegis e LastPass. Infine, si segnala anche la capacità di sottrarre le password da BitWarden, LastPass, KeePass e perfino dal client di posta Thunderbird di Mozilla. Insomma: sebbene sia ancora in fase embrionale di sviluppo, si tratta di una minaccia che già ha dimostrato la sua forza bruta.

Come funziona Glove Stealer?

Scritto quasi interamente in .NET, Glove Stealer è in grado di aggirare la crittografia App-Bound di Google, introdotta per la prima volta in Chrome 127.
Ciò avviene mediante un modulo di supporto, che sfrutta il servizio di Windows iElevator in esecuzione con privilegi SYSTEM, capace di decifrare e ricostruire le chiavi crittografate App-Bound. C’è da precisare che il malware ha dapprima bisogno di ottenere i privilegi di amministratore locale sul sistema infettato, in quanto il modulo appena descritto deve essere allocato nella cartella di Google Chrome presente in Programmi. Solo così questo è in grado di attuare il processo appena descritto.

Tale tecnica risulta piuttosto obsoleta e già soppiantata da metodi molto più efficaci, largamente usati da infostealer recenti.
Stando alle parole dell’analista Russian Panda, il malware fa uso di un metodo conosciuto come metodo di Hagenah, particolarmente diffuso nei primi periodi in cui Google introdusse la sua crittografia proprietaria in Chrome. Per cui si tratta di un’ulteriore prova di come Glove Stealer sia ancora in fase embrionale di sviluppo. Nonostante le dichiarazioni di Google in merito alla capacità della sua crittografia di dover elevare i privilegi a livello amministrativo, l’esistenza di una minaccia simile desta più di una preoccupazione. A ciò si aggiunge anche il prendere coscienza che la crittografia App-Bound non è bastata a ridurre il numero di campagne malware e infostealer mirate a sottrarre i dati sensibili degli utenti.

Come proteggersi da un infostealer?

Per loro natura, gli infostealer si diffondono grazie a driver di sistema vulnerabili, vulnerabilità zero-day in sistemi operativi e browser, risposte a StackOverflow e finte correzioni apportate a codice pubblico in condivisione su GitHub. Da ciò si evince che non esiste una misura universale per poterli contrastare in via definitiva. Tuttavia, esistono una serie di accorgimenti e tecniche che possono mitigare l’insorgenza di eventuali attacchi.

Aggiornare sempre e costantemente browser, sistema operativo e driver di sistema.
Tutti i sistemi, l’hardware e il software in uso devono essere costantemente aggiornati con puntualità. Ciò riduce di molto le possibilità di un’infezione da parte di un malware con capacità infostealer. Inoltre si consiglia di evitare l’uso di browser basati su Chromium, in quanto Glove Stealer è costruito per colpire principalmente quelli da esso derivanti.
Adottare una soluzione di filtraggio e-mail efficace.
Poiché gli infostealer si diffondono principalmente attraverso campagne di phishing e malspam, è obbligatorio adottare un filtro in grado di rilevare e-mail di spoofing, phishing e contenenti file malevoli sin dal principio.
Adottare sistemi automatici di patch management e motori EDR.
L’adozione di questi sistemi consente sia agli utenti comuni, che alle organizzazioni di garantirsi una protezione duratura ed efficace.
Questo perché si tratta di soluzioni dotate degli approcci Zero Trust e Threat Hunting, capaci di agire anche contro le minacce sconosciute.

In conclusione

Sebbene non si tratti di una minaccia ancora pienamente operativa e sofisticata, Glove Stealer è un ulteriore promemoria alla vulnerabilità della nostra vita digitale. L’adozione di misure preventive, come l’aggiornamento costante dei nostri sistemi e l’adozione di strumenti di gestione delle nostre credenziali, sono a dir poco imperative. Questo perché dobbiamo assolutamente mantenere un occhio critico su tutte le operazioni che svolgiamo in rete quotidianamente. In particolare si deve prestare attenzione ai siti che visitiamo e a ciò che scarichiamo. La nostra consapevolezza è l’arma più efficace di cui disponiamo e sta a noi impiegarla nel migliore dei modi.

Autore articolo
Gli ultimi articoli

Aldo Vernaglione

Classe 1993, ingegnere gestionale e Adobe Certified Professional in Graphic Design & Visual Design. Ho mosso i primi passi nel campo informatico grazie alla passione per i videogiochi, che mi ha portato ad approfondire i motori grafici e la progettazione visiva. Scrivo da quando ero bambino e, con il tempo, la scrittura è diventata parte integrante del mio lavoro nel mondo della comunicazione e della sicurezza informatica.

Cookie	Durata	Descrizione
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.