GlassWorm se esconde dentro de ferramentas de desenvolvedor. Uma vez instalado, ele rouba dados, instala malware de acesso remoto e até mesmo uma extensão de navegador falsa para monitorar atividades. Embora comece com os desenvolvedores, o impacto pode se espalhar rapidamente. Com credenciais roubadas, tokens de acesso e ferramentas comprometidas, os invasores podem lançar ataques mais amplos à cadeia de suprimentos, colocando em risco empresas e usuários comuns.
Como a infecção começa
GlassWorm geralmente é distribuído por meio de canais de desenvolvedores. Isso significa que os programadores comprometem seus sistemas baixando pacotes maliciosos de repositórios de código como npm, GitHub, PyPI e assim por diante. Podem ser novos pacotes maliciosos ou pacotes alterados de contas antes confiáveis, mas agora comprometidas.
O desenvolvedor instala ou atualiza um pacote npm/PyPI confiável ou popular ou uma extensão do VS Code, mas a conta ou cadeia de suprimentos do mantenedor foi comprometida.
O que acontece após a instalação
Depois que o pacote é extraído, um script de pré-instalação ou um carregador Unicode invisível é executado e faz uma impressão digital na máquina. Se encontrar uma localidade russa, a execução será interrompida. Caso contrário, o script espera algumas horas e então entra em contato silenciosamente com o blockchain Solana para descobrir onde buscar o segundo estágio da infecção. Em vez de codificar um link que poderia ser desativado, o invasor armazena essas informações no campo de memorando de uma transação Solana.
Estágio dois: roubo de dados
A carga útil do estágio dois é um infostealer que tem como alvo perfis de extensão de navegador, aplicativos de carteira independentes e arquivos .txt/image que provavelmente contêm sementes ou chaves, junto com tokens npm, credenciais git, segredos do VS Code e credenciais de provedor de nuvem. Após coletar essas informações, ele as envia para um servidor remoto por meio de uma solicitação POST.
Estágio três: comprometimento total do sistema
Depois disso, passa-se para a terceira fase. O malware busca dois componentes principais: o binário de phishing Ledger/Trezor direcionado a usuários com um dispositivo Ledger ou Trezor conectado e um Trojan de acesso remoto (RAT) Node.js com vários módulos, incluindo ladrões de credenciais de navegador e um instalador de extensão do Chrome. Ele ganha persistência configurando tarefas agendadas e executando chaves de registro para que o RAT volte a cada reinicialização.
O RAT não codifica seu endereço principal de comando e controle (C2). Em vez disso, ele executa uma pesquisa na tabela hash distribuída (DHT) para a chave pública fixada. DHT é um sistema distribuído que fornece um serviço de pesquisa semelhante a uma tabela hash. Os pares chave-valor são armazenados em um DHT e podem ser usados para recuperar o valor associado a uma determinada chave. Se este método falhar, o RAT volta ao blockchain Solana para buscar um novo endereço IP.
Vigilância e rastreamento do navegador
O RAT também força a instalação de uma extensão do Chrome (no exemplo descrito pelo Aikidofinge ser “Google Docs Offline”), que atua como uma vigilância de sessão integrada. Além de roubar cookies, localStorage, o Document Object Model completo (DOM) árvore da guia ativa, favoritos, capturas de tela, pressionamentos de teclas, conteúdo da área de transferência, até 5.000 entradas do histórico do navegador e a lista de extensões instaladas, também pode ser usado para fazer capturas de tela e atuar como um keylogger.
O que isso parece para a vítima
Do ponto de vista da vítima, tudo isso acontece de forma muito furtiva. Se prestarem muita atenção, poderão ver algumas conexões de saída suspeitas, as entradas de inicialização e a nova extensão do navegador.
Quem está em risco e como isso pode se espalhar
A configuração atual parece se concentrar em desenvolvedores que podem ter ativos de criptomoeda, mas muitos desses componentes e as informações roubadas podem ser usados para iniciar ataques à cadeia de suprimentos ou atingir outros grupos de usuários.
Como se manter seguro
Devido à natureza furtiva desta cadeia de infecção, existem duas estratégias principais para se manter seguro:
- Prefira versões fixas e em bom estado e trate mudanças repentinas de propriedade, novos mantenedores ou grandes reescritas de código em versões secundárias como gatilhos de revisão.
- Audite regularmente as extensões do navegador, remova tudo o que você não reconhece e suspeite de clones ou duplicatas no estilo “Google Docs Offline”.
- Verifique suas tarefas agendadas e locais de inicialização do registro em busca de entradas inesperadas.
- Use uma solução antimalware atualizada e em tempo real para detectar e bloquear conexões maliciosas e malware baixado.
IOCs (indicadores de compromisso)
Endereços IP:
45.32.150(.)251
217.69.3(.)152
217.69.0(.)159
45.150.34(.)158
Chaves de registro:
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunUpdateApp
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunUpdateLedger
Tarefa agendada:
Nome: UpdateApp which runs: AghzgY.ps1
Extensão do navegador:
Nome de exibição: Google Docs off-line (versão 1.95.1)
Nome do diretório de extensão do Windows:jucku
Nome do diretório de extensão do macOS: myextension
Não apenas informamos ameaças: nós as removemos
Os riscos de cibersegurança nunca devem ultrapassar as manchetes. Mantenha as ameaças longe dos seus dispositivos baixando o Malwarebytes hoje mesmo.
Deseja saber mais sobre Segurança Clique Aqui!
extensão do navegador,desenvolvedores,GlassWorm
Perito em Computação Forense e Crimes Cibernéticos
Investigação Digital | Laudos Técnicos | Resposta a Incidentes
Bacharel em Sistemas da Informação, Certificado Microsoft Azure IA e MOS. Trabalho como Administrador de Redes, Firewall e Servidores Windows e Linux!
Minhas atividades favoritas são: Caminhar, Fazer Trilhas, Natureza, Insetos e claro ler sobre Tecnologia.