In den letzten Jahren sind bösartige Browsererweiterungen zu einem weit verbreiteten Phänomen geworden, das von Hackern verwendet wird, um private Informationen und sogar Geld zu stehlen. Jetzt haben Cybersicherheitsforscher von Trustwave SpiderLabs entdeckte einen neuen Malware-Stamm, der auf Kryptowährungs-Wallets abzielt. Diese als Rilide bezeichnete Malware gibt sich als Google Drive-Erweiterung für Chromium-basierte Browser aus und kann, wenn sie installiert ist, den Browserverlauf eines Opfers überwachen, Screenshots aufnehmen und sogar schädliche Skripte einschleusen, um Geld von Kryptowährungsbörsen abzuheben.
Wie funktioniert Rilide?
Sobald Rilide installiert ist, führt es ein Skript aus, das die Aktionen des Opfers überwacht, z. B. wenn es die Registerkarten wechselt oder wenn Webinhalte empfangen oder Seiten vollständig geladen werden. Wenn also die aktuelle Site mit einer Liste von Zielen übereinstimmt, die vom Command-and-Control-Server (C2) verfügbar sind, lädt die Erweiterung zusätzliche Skripte, die Informationen zu Kryptowährungen, Anmeldeinformationen für E-Mail-Konten und mehr stehlen können. Darüber hinaus deaktiviert die Erweiterung auch die „Content Security Policy“ auf den Ziel-Websites, die Benutzer vor Cross-Site-Scripting-Angriffen schützt, indem sie die Installation externer Ressourcen blockiert.
Trustwave sagt, dass sie zwei separate Kampagnen gefunden haben, die verbreitet wurden die Malware. Eine Kampagne verwendete Google Ads und Aurora Stealer, um die Erweiterung über einen Rust-Loader zu laden, während die andere Kampagne den Ekipa Remote Access Trojaner (RAT) verwendete, um die Malware zu verteilen.
2FA umgehen
Was Rilide auszeichnet, ist wie es „gefälschte Dialoge“ verwendet, um Benutzer dazu zu bringen, ihre Multi-Faktor-Authentifizierungsschlüssel preiszugeben. Wenn die Malware erkennt, dass ein Benutzer ein Kryptowährungsumtauschkonto hat, versucht sie daher, im Hintergrund eine Auszahlungsanforderung zu stellen, während sie einen gefälschten Geräteauthentifizierungsdialog anzeigt, um den 2FA-Code zu erhalten. Die Erweiterung ersetzt auch E-Mail-Bestätigungen durch Geräteautorisierungsanfragen und verleitet so den Benutzer dazu, den Autorisierungscode einzugeben.
Um das Risiko zu verringern, Opfer von Malware wie Rilide zu werden, ist es entscheidend, Erweiterungen nur von seriösen Quellen zu installieren und um unnötige Erweiterungen zu überprüfen und regelmäßig zu deinstallieren. Darüber hinaus sollten Benutzer ihren Browser und ihr Betriebssystem mit den neuesten Sicherheitspatches auf dem neuesten Stand halten und zuverlässige Antivirensoftware verwenden.
