Au cours des dernières années, les extensions de navigateur malveillantes sont devenues un phénomène courant, les pirates les utilisant pour voler des informations privées et même de l’argent. Désormais, les chercheurs en cybersécurité de Trustwave SpiderLabs ont découvert une nouvelle souche de logiciels malveillants ciblant les portefeuilles de crypto-monnaie. Surnommé Rilide, ce logiciel malveillant se présente comme une extension Google Drive pour les navigateurs basés sur Chromium et, s’il est installé, il peut surveiller l’historique de navigation d’une victime, capturer des captures d’écran et même injecter des scripts malveillants pour retirer de l’argent des échanges de crypto-monnaie.

Comment fonctionne Rilide ?

Une fois Rilide installé, il exécute un script qui surveille les actions de la victime, comme lorsqu’elle change d’onglet ou lorsque le contenu Web est reçu ou que les pages finissent de se charger. Ainsi, si le site actuel correspond à une liste de cibles disponibles à partir du serveur de commande et de contrôle (C2), l’extension charge des scripts supplémentaires qui peuvent voler des informations relatives aux crypto-monnaies, aux informations d’identification du compte de messagerie, etc. De plus, l’extension désactive également la”politique de sécurité du contenu”sur les sites Web ciblés, ce qui protège les utilisateurs contre les attaques de script intersite en bloquant l’installation de ressources externes.

Trustwave indique avoir trouvé deux campagnes distinctes qui ont distribué le logiciel malveillant. Une campagne a utilisé Google Ads et Aurora Stealer pour charger l’extension via un chargeur Rust, tandis que l’autre campagne a utilisé le cheval de Troie d’accès à distance Ekipa (RAT) pour distribuer le logiciel malveillant.

Evading 2FA

Ce qui distingue Rilide, c’est comment il utilise des”boîtes de dialogue falsifiées”pour inciter les utilisateurs à donner leurs clés d’authentification multi-facteurs. Par conséquent, lorsque le logiciel malveillant détecte qu’un utilisateur possède un compte d’échange de crypto-monnaie, il tente de faire une demande de retrait en arrière-plan tout en présentant une boîte de dialogue d’authentification de périphérique falsifiée pour obtenir le code 2FA. L’extension remplace également les confirmations par e-mail par des demandes d’autorisation d’appareil, incitant ainsi l’utilisateur à fournir le code d’autorisation.

Pour réduire le risque d’être victime de logiciels malveillants comme Rilide, il est crucial d’installer des extensions uniquement à partir de sources fiables et pour examiner et désinstaller régulièrement toutes les extensions inutiles. De plus, les utilisateurs doivent maintenir leur navigateur et leur système d’exploitation à jour avec les derniers correctifs de sécurité et utiliser un logiciel antivirus fiable.

Categories: IT Info