Negli ultimi anni, le estensioni del browser dannose sono diventate un fenomeno comune, con gli hacker che le utilizzano per rubare informazioni private e persino denaro. Ora, i ricercatori di sicurezza informatica di Trustwave SpiderLabs hanno ha scoperto un nuovo ceppo di malware che prende di mira i portafogli di criptovalute. Soprannominato Rilide, questo malware si presenta come un’estensione di Google Drive per i browser basati su Chromium e, se installato, può monitorare la cronologia di navigazione di una vittima, acquisire schermate e persino iniettare script dannosi per prelevare denaro dagli scambi di criptovaluta.
Come funziona Rilide?
Una volta installato, Rilide esegue uno script che monitora le azioni della vittima, ad esempio quando cambia scheda o quando viene ricevuto contenuto web o le pagine finiscono di caricarsi. Pertanto, se il sito corrente corrisponde a un elenco di obiettivi disponibili dal server di comando e controllo (C2), l’estensione carica script aggiuntivi che possono rubare informazioni relative a criptovalute, credenziali dell’account e-mail e altro. Inoltre, l’estensione disabilita anche la”Politica di sicurezza dei contenuti”sui siti Web presi di mira, che protegge gli utenti dagli attacchi di scripting cross-site bloccando l’installazione di risorse esterne.
Trustwave afferma di aver trovato due campagne separate che distribuivano il malware. Una campagna ha utilizzato Google Ads e Aurora Stealer per caricare l’estensione tramite un caricatore Rust, mentre l’altra campagna ha utilizzato il trojan di accesso remoto (RAT) Ekipa per distribuire il malware.
Evadere 2FA
Ciò che distingue Rilide è come utilizza”finestre di dialogo contraffatte”per indurre gli utenti a rivelare le loro chiavi di autenticazione a più fattori. Pertanto, quando il malware rileva che un utente ha un account di scambio di criptovaluta, tenta di effettuare una richiesta di prelievo in background mentre presenta una finestra di dialogo di autenticazione del dispositivo contraffatto per ottenere il codice 2FA. L’estensione sostituisce anche le conferme e-mail con richieste di autorizzazione del dispositivo, inducendo così l’utente a fornire il codice di autorizzazione.
Per ridurre il rischio di cadere vittima di malware come Rilide, è fondamentale installare estensioni solo da fonti attendibili e per rivedere e disinstallare regolarmente eventuali estensioni non necessarie. Inoltre, gli utenti dovrebbero mantenere il browser e il sistema operativo aggiornati con le ultime patch di sicurezza e utilizzare un software antivirus affidabile.