ここ数年、悪意のあるブラウザ拡張機能が一般的な現象となっており、ハッカーはそれらを使用して個人情報や金銭を盗むことさえあります。現在、Trustwave SpiderLabs のサイバーセキュリティ研究者は 発見 暗号通貨ウォレットを標的とするマルウェアの新種。 Rilide と呼ばれるこのマルウェアは、Chromium ベースのブラウザの Google ドライブ拡張機能を装い、インストールすると、被害者の閲覧履歴を監視したり、スクリーンショットをキャプチャしたり、悪意のあるスクリプトを挿入して仮想通貨取引所からお金を引き出したりすることさえできます。
Rilide はどのように機能しますか?
Rilide がインストールされると、被害者がタブを切り替えたとき、Web コンテンツが受信されたとき、ページの読み込みが完了したときなど、被害者の行動を監視するスクリプトが実行されます。そのため、現在のサイトがコマンド アンド コントロール (C2) サーバーから入手できるターゲットのリストと一致する場合、拡張機能は追加のスクリプトを読み込み、暗号通貨、電子メール アカウントの資格情報などに関連する情報を盗むことができます。さらに、この拡張機能は、標的の Web サイトの「コンテンツ セキュリティ ポリシー」も無効にします。このポリシーは、外部リソースのインストールをブロックすることで、クロスサイト スクリプティング攻撃からユーザーを保護します。マルウェア。 1 つのキャンペーンでは、Google 広告と Aurora Stealer を使用して Rust ローダー経由で拡張機能をロードしましたが、別のキャンペーンでは Ekipa リモート アクセス トロイの木馬 (RAT) を使用してマルウェアを配布しました。
2FA の回避
Rilide を際立たせているのは「偽造ダイアログ」を使用して、ユーザーをだまして多要素認証キーを提供させる方法。そのため、マルウェアは、ユーザーが仮想通貨取引所のアカウントを持っていることを検出すると、バックグラウンドで引き出し要求を行い、偽造されたデバイス認証ダイアログを提示して 2FA コードを取得しようとします。また、この拡張機能は電子メールの確認をデバイス認証リクエストに置き換え、ユーザーをだまして認証コードを提供させます。
Rilide のようなマルウェアの犠牲になるリスクを減らすには、信頼できるソースからのみ拡張機能をインストールし、不要な拡張機能を確認して定期的にアンインストールする。さらに、ユーザーはブラウザとオペレーティング システムを最新のセキュリティ パッチで最新の状態に保ち、信頼できるウイルス対策ソフトウェアを使用する必要があります。