Nos últimos anos, extensões de navegador maliciosas se tornaram um fenômeno comum, com hackers usando-as para roubar informações privadas e até mesmo dinheiro. Agora, os pesquisadores de segurança cibernética da Trustwave SpiderLabs têm descobriu um novo tipo de malware que visa carteiras de criptomoedas. Apelidado de Rilide, esse malware se apresenta como uma extensão do Google Drive para navegadores baseados no Chromium e, se instalado, pode monitorar o histórico de navegação da vítima, capturar capturas de tela e até mesmo injetar scripts maliciosos para retirar dinheiro de trocas de criptomoedas.
Como funciona o Rilide?
Depois que o Rilide é instalado, ele executa um script que monitora as ações da vítima, como quando ela muda de aba ou quando o conteúdo da web é recebido ou quando as páginas terminam de carregar. Portanto, se o site atual corresponder a uma lista de destinos disponíveis no servidor de comando e controle (C2), a extensão carregará scripts adicionais que podem roubar informações relacionadas a criptomoedas, credenciais de conta de e-mail e muito mais. Além disso, a extensão também desativa a “Política de segurança de conteúdo” nos sites visados, o que protege os usuários contra ataques de script entre sites, bloqueando a instalação de recursos externos.
A Trustwave diz ter encontrado duas campanhas separadas que distribuíam o malware. Uma campanha usou o Google Ads e Aurora Stealer para carregar a extensão por meio de um carregador Rust, enquanto a outra campanha usou o trojan de acesso remoto Ekipa (RAT) para distribuir o malware.
Evadir 2FA
O que diferencia Rilide é como ele usa “caixas de diálogo forjadas” para induzir os usuários a fornecer suas chaves de autenticação multifator. Portanto, quando o malware detecta que um usuário possui uma conta de troca de criptomoedas, ele tenta fazer uma solicitação de saque em segundo plano enquanto apresenta uma caixa de diálogo de autenticação de dispositivo forjada para obter o código 2FA. A extensão também substitui as confirmações de e-mail por solicitações de autorização do dispositivo, enganando o usuário para que forneça o código de autorização.
Para reduzir o risco de ser vítima de malware como o Rilide, é crucial instalar extensões apenas de fontes confiáveis e para revisar e desinstalar regularmente quaisquer extensões desnecessárias. Além disso, os usuários devem manter seu navegador e sistema operacional atualizados com os patches de segurança mais recentes e usar um software antivírus confiável.