Viime vuosien aikana haitallisista selainlaajennuksista on tullut yleinen ilmiö, ja hakkerit ovat käyttäneet niitä varastaakseen yksityisiä tietoja ja jopa rahaa. Nyt Trustwave SpiderLabsin kyberturvallisuustutkijat ovat löysi uuden haittaohjelmatyypin, joka kohdistuu kryptovaluuttalompakoihin. Tämä Rilide-niminen haittaohjelma toimii Google Drive-laajennuksena Chromium-pohjaisille selaimille, ja jos se on asennettu, se voi seurata uhrin selaushistoriaa, kaapata kuvakaappauksia ja jopa syöttää haitallisia skriptejä nostaakseen rahaa kryptovaluuttapörsseistä.
Miten Rilide toimii?
Kun Rilide on asennettu, se suorittaa skriptin, joka valvoo uhrin toimia, kuten kun hän vaihtaa välilehteä tai milloin verkkosisältö vastaanotetaan tai sivut latautuvat. Joten jos nykyinen sivusto vastaa komento-ja ohjauspalvelimelta (C2) saatavilla olevien kohteiden luetteloa, laajennus lataa ylimääräisiä komentosarjoja, jotka voivat varastaa kryptovaluuttoihin liittyviä tietoja, sähköpostitilin tunnistetietoja ja paljon muuta. Lisäksi laajennus poistaa käytöstä myös”sisällön suojauskäytännön”kohdistetuilta verkkosivustoilta, jotka suojaavat käyttäjiä sivustojen välisiltä komentosarjahyökkäyksiltä estämällä ulkoisten resurssien asennuksen.
Trustwave kertoo löytäneensä kaksi erillistä kampanjaa, jotka levittivät haittaohjelma. Yhdessä kampanjassa käytettiin Google Adsia ja Aurora Stealeriä laajennuksen lataamiseen Rust loaderin kautta, kun taas toisessa kampanjassa Ekipa-etäkäyttötroijalainen (RAT) levitettiin haittaohjelmia.
2FA:n kiertäminen
Mikä erottaa Riliden muista kuinka se käyttää”väännettyjä valintaikkunoita”huijatakseen käyttäjiä luovuttamaan monitekijätodennusavaimensa. Siksi, kun haittaohjelma havaitsee, että käyttäjällä on kryptovaluutanvaihtotili, se yrittää tehdä nostopyynnön taustalla ja esittää väärennetyn laitteen todennusikkunan saadakseen 2FA-koodin. Laajennus korvaa myös sähköpostivahvistukset laitteen valtuutuspyynnöillä, mikä huijaa käyttäjän antamaan valtuutuskoodin.
Riliden kaltaisten haittaohjelmien uhriksi joutumisen riskin vähentämiseksi on erittäin tärkeää asentaa laajennuksia vain hyvämaineisista lähteistä ja tarkistaaksesi ja säännöllisesti poistaaksesi tarpeettomat laajennukset. Lisäksi käyttäjien tulee pitää selaimensa ja käyttöjärjestelmänsä ajan tasalla uusimpien tietoturvakorjausten kanssa ja käyttää luotettavia virustorjuntaohjelmistoja.
