De afgelopen jaren zijn kwaadwillende browserextensies een veelvoorkomend fenomeen geworden, waarbij hackers ze gebruiken om privégegevens en zelfs geld te stelen. Nu hebben cyberbeveiligingsonderzoekers van Trustwave SpiderLabs ontdekte een nieuwe soort malware die gericht is op cryptocurrency-portefeuilles. Deze malware, genaamd Rilide, doet zich voor als een Google Drive-extensie voor op Chromium gebaseerde browsers en kan, indien geïnstalleerd, de browsegeschiedenis van een slachtoffer controleren, screenshots maken en zelfs kwaadaardige scripts injecteren om geld op te nemen van cryptocurrency-uitwisselingen.
Hoe werkt Rilide?
Als Rilide eenmaal is geïnstalleerd, voert het een script uit dat de acties van het slachtoffer volgt, zoals wanneer ze van tabblad wisselen of wanneer webinhoud wordt ontvangen of pagina’s volledig worden geladen. Dus als de huidige site overeenkomt met een lijst met doelen die beschikbaar zijn via de command and control (C2)-server, laadt de extensie aanvullende scripts die informatie kunnen stelen met betrekking tot cryptocurrencies, inloggegevens voor e-mailaccounts en meer. Bovendien schakelt de extensie ook het”Content Security Policy”uit op de getargete websites, dat gebruikers beschermt tegen cross-site scripting-aanvallen door de installatie van externe bronnen te blokkeren.
Trustwave zegt dat ze twee afzonderlijke campagnes hebben gevonden die verspreid de malware. Eén campagne gebruikte Google Ads en Aurora Stealer om de extensie te laden via een Rust-lader, terwijl de andere campagne de Ekipa-trojan voor externe toegang (RAT) gebruikte om de malware te verspreiden.
2FA ontwijken
Wat Rilide onderscheidt, is hoe het”vervalste dialogen”gebruikt om gebruikers te misleiden om hun multi-factor authenticatiesleutels weg te geven. Daarom, wanneer de malware detecteert dat een gebruiker een cryptocurrency exchange-account heeft, probeert het op de achtergrond een opnameverzoek in te dienen terwijl het een vervalst apparaatauthenticatiedialoogvenster presenteert om de 2FA-code te verkrijgen. De extensie vervangt ook e-mailbevestigingen door apparaatautorisatieverzoeken, waardoor de gebruiker wordt misleid om de autorisatiecode te verstrekken.
Om het risico te verkleinen dat u het slachtoffer wordt van malware zoals Rilide, is het cruciaal om alleen extensies te installeren van betrouwbare bronnen en om onnodige extensies te controleren en regelmatig te verwijderen. Bovendien moeten gebruikers hun browser en besturingssysteem up-to-date houden met de nieuwste beveiligingspatches en betrouwbare antivirussoftware gebruiken.
