En los últimos años, las extensiones de navegador maliciosas se han convertido en un fenómeno común, y los piratas informáticos las utilizan para robar información privada e incluso dinero. Ahora, los investigadores de ciberseguridad de Trustwave SpiderLabs tienen descubrió una nueva variedad de malware que se dirige a las billeteras de criptomonedas. Apodado Rilide, este malware se hace pasar por una extensión de Google Drive para navegadores basados en Chromium y, si está instalado, puede monitorear el historial de navegación de la víctima, capturar capturas de pantalla e incluso inyectar scripts maliciosos para retirar dinero de los intercambios de criptomonedas.
¿Cómo funciona Rilide?
Una vez que Rilide está instalado, ejecuta un script que monitorea las acciones de la víctima, como cuando cambia de pestaña o cuando se recibe contenido web o las páginas terminan de cargarse. Entonces, si el sitio actual coincide con una lista de objetivos disponibles del servidor de comando y control (C2), la extensión carga scripts adicionales que pueden robar información relacionada con criptomonedas, credenciales de cuentas de correo electrónico y más. Además, la extensión también deshabilita la”Política de seguridad de contenido”en los sitios web objetivo, lo que protege a los usuarios contra ataques de secuencias de comandos entre sitios al bloquear la instalación de recursos externos.
Trustwave dice que encontraron dos campañas separadas que distribuyeron el malware Una campaña usó Google Ads y Aurora Stealer para cargar la extensión a través de un cargador Rust, mientras que la otra campaña usó el troyano de acceso remoto (RAT) Ekipa para distribuir el malware.
Evadir 2FA
Lo que distingue a Rilide es cómo utiliza”diálogos falsificados”para engañar a los usuarios para que entreguen sus claves de autenticación multifactor. Por lo tanto, cuando el malware detecta que un usuario tiene una cuenta de intercambio de criptomonedas, intenta realizar una solicitud de retiro en segundo plano mientras presenta un cuadro de diálogo de autenticación de dispositivo falsificado para obtener el código 2FA. La extensión también reemplaza las confirmaciones por correo electrónico con solicitudes de autorización del dispositivo, engañando así al usuario para que proporcione el código de autorización.
Para reducir el riesgo de ser víctima de malware como Rilide, es crucial instalar extensiones solo de fuentes acreditadas y para revisar y desinstalar regularmente cualquier extensión innecesaria. Además, los usuarios deben mantener su navegador y sistema operativo actualizados con los últimos parches de seguridad y utilizar un software antivirus confiable.
