Sejak beberapa tahun kebelakangan ini, sambungan penyemak imbas berniat jahat telah menjadi fenomena biasa, dengan penggodam menggunakannya untuk mencuri maklumat peribadi dan juga wang. Kini, penyelidik keselamatan siber daripada Trustwave SpiderLabs telah menemui jenis perisian hasad baharu yang menyasarkan dompet mata wang kripto. Digelar Rilide, perisian hasad ini menyamar sebagai sambungan Google Drive untuk penyemak imbas berasaskan Chromium, dan jika dipasang, ia boleh memantau sejarah penyemakan imbas mangsa, menangkap tangkapan skrin dan juga menyuntik skrip berniat jahat untuk mengeluarkan wang daripada pertukaran mata wang kripto.
Bagaimanakah Rilide berfungsi?
Setelah Rilide dipasang, ia menjalankan skrip yang memantau tindakan mangsa, seperti apabila mereka menukar tab atau apabila kandungan web diterima atau halaman selesai dimuatkan. Jadi, jika tapak semasa sepadan dengan senarai sasaran yang tersedia daripada pelayan arahan dan kawalan (C2), sambungan itu memuatkan skrip tambahan yang boleh mencuri maklumat yang berkaitan dengan mata wang kripto, bukti kelayakan akaun e-mel dan banyak lagi. Selain itu, sambungan itu juga melumpuhkan”Dasar Keselamatan Kandungan”pada tapak web yang disasarkan, yang melindungi pengguna daripada serangan skrip merentas tapak dengan menyekat pemasangan sumber luaran.
Trustwave mengatakan mereka menemui dua kempen berasingan yang mengedarkan perisian hasad itu. Satu kempen menggunakan Google Ads dan Aurora Stealer untuk memuatkan sambungan melalui pemuat Rust, manakala kempen lain menggunakan trojan akses jauh (RAT) Ekipa untuk mengedarkan perisian hasad.
Mengelakkan 2FA
Apa yang membezakan Rilide ialah bagaimana ia menggunakan”dialog palsu”untuk menipu pengguna supaya memberikan kunci pengesahan berbilang faktor mereka. Oleh itu, apabila perisian hasad mengesan bahawa pengguna mempunyai akaun pertukaran mata wang kripto, ia cuba membuat permintaan pengeluaran di latar belakang sambil membentangkan dialog pengesahan peranti palsu untuk mendapatkan kod 2FA. Sambungan ini juga menggantikan pengesahan e-mel dengan permintaan kebenaran peranti, sekali gus memperdaya pengguna untuk memberikan kod kebenaran.
Untuk mengurangkan risiko menjadi mangsa perisian hasad seperti Rilide, adalah penting untuk memasang sambungan hanya daripada sumber yang bereputasi dan untuk menyemak dan menyahpasang secara kerap sebarang sambungan yang tidak diperlukan. Selain itu, pengguna harus memastikan penyemak imbas dan sistem pengendalian mereka dikemas kini dengan patch keselamatan terkini dan menggunakan perisian antivirus yang boleh dipercayai.
