Az elmúlt néhány évben a rosszindulatú böngészőbővítmények gyakori jelenséggé váltak, és a hackerek személyes információkat, sőt pénzt is elloptak velük. A Trustwave SpiderLabs kiberbiztonsági kutatói most felfedezett a rosszindulatú programok egy új törzsét, amely a kriptovaluta pénztárcákat célozza meg. Ez a Rilide névre keresztelt kártevő Google Drive-bővítményként jelenik meg Chromium-alapú böngészőkhöz, és ha telepítve van, figyelheti az áldozat böngészési előzményeit, képernyőképeket készíthet, és még rosszindulatú szkripteket is befecskendezhet, hogy pénzt vegyen fel a kriptovaluta tőzsdékről.
Hogyan működik a Rilide?
A Rilide telepítése után lefuttat egy szkriptet, amely figyeli az áldozat műveleteit, például amikor lapokat váltanak, webtartalom érkezik vagy az oldalak betöltése befejeződik. Tehát ha az aktuális webhely megfelel a parancs-és vezérlőkiszolgálóról (C2) elérhető célok listájának, a bővítmény további szkripteket tölt be, amelyek ellophatják a kriptovalutákkal, e-mail fiók hitelesítő adataival és sok mással kapcsolatos információkat. Ezenkívül a bővítmény letiltja a „Tartalombiztonsági szabályzatot” is a megcélzott webhelyeken, amely a külső források telepítésének blokkolásával védi a felhasználókat a webhelyek közötti parancsfájl-támadásoktól.
A Trustwave azt állítja, hogy találtak két külön kampányt, amelyek terjesztették a malware. Az egyik kampány a Google Ads és az Aurora Stealer segítségével töltötte be a bővítményt egy Rust loader segítségével, míg a másik kampány az Ekipa távoli hozzáférésű trójai (RAT) segítségével terjesztette a kártevőt.
A 2FA elkerülése
A Rilide megkülönböztetése az hogyan használja a „hamisított párbeszédpaneleket”, hogy rávegye a felhasználókat a többtényezős hitelesítési kulcsok odaadására. Ezért amikor a rosszindulatú program azt észleli, hogy egy felhasználónak van kriptovaluta váltószámlája, a háttérben megkísérli a visszavonási kérelmet, miközben egy hamisított eszközhitelesítési párbeszédpanelt mutat be a 2FA kód megszerzéséhez. A bővítmény az e-mailes visszaigazolásokat is eszközengedélyezési kérelmekkel helyettesíti, így ráveszik a felhasználót, hogy megadja az engedélyezési kódot.
A Rilide-hoz hasonló rosszindulatú programok áldozatává válásának kockázatának csökkentése érdekében kulcsfontosságú, hogy a bővítményeket csak jó hírű forrásokból telepítse. hogy ellenőrizze és rendszeresen távolítsa el a szükségtelen bővítményeket. Ezenkívül a felhasználóknak naprakészen kell tartaniuk böngészőjüket és operációs rendszerüket a legújabb biztonsági javításokkal, és megbízható vírusirtó szoftvert kell használniuk.
