W ciągu ostatnich kilku lat złośliwe rozszerzenia przeglądarki stały się powszechnym zjawiskiem, a hakerzy wykorzystują je do kradzieży prywatnych informacji, a nawet pieniędzy. Teraz badacze cyberbezpieczeństwa z Trustwave SpiderLabs mają odkrył nowy rodzaj złośliwego oprogramowania, którego celem są portfele kryptowalut. To złośliwe oprogramowanie, nazwane Rilide, udaje rozszerzenie Dysku Google dla przeglądarek opartych na Chromium, a jeśli jest zainstalowane, może monitorować historię przeglądania ofiary, przechwytywać zrzuty ekranu, a nawet wstrzykiwać złośliwe skrypty w celu wypłaty pieniędzy z giełd kryptowalut.
Jak działa Rilide?
Po zainstalowaniu Rilide uruchamia skrypt, który monitoruje działania ofiary, takie jak przełączanie kart, odbieranie treści internetowych lub ładowanie stron. Jeśli więc bieżąca witryna pasuje do listy celów dostępnych z serwera dowodzenia i kontroli (C2), rozszerzenie ładuje dodatkowe skrypty, które mogą wykradać informacje związane z kryptowalutami, poświadczenia konta e-mail i inne. Dodatkowo rozszerzenie wyłącza również „Politykę bezpieczeństwa treści” na docelowych stronach internetowych, która chroni użytkowników przed atakami typu cross-site scripting poprzez blokowanie instalacji zewnętrznych zasobów.
Trustwave twierdzi, że znalazł dwie oddzielne kampanie, które rozpowszechniały złośliwe oprogramowanie. Jedna kampania wykorzystywała Google Ads i Aurora Stealer do załadowania rozszerzenia za pomocą programu ładującego Rust, podczas gdy druga kampania wykorzystywała trojana zdalnego dostępu (RAT) Ekipa do dystrybucji złośliwego oprogramowania.
Unikanie 2FA
To, co wyróżnia Rilide, to w jaki sposób wykorzystuje „sfałszowane okna dialogowe”, aby nakłonić użytkowników do oddania kluczy uwierzytelniania wieloskładnikowego. Dlatego też, gdy złośliwe oprogramowanie wykryje, że użytkownik posiada konto giełdy kryptowalut, próbuje w tle wykonać żądanie wypłaty, wyświetlając sfałszowane okno dialogowe uwierzytelniania urządzenia w celu uzyskania kodu 2FA. Rozszerzenie zastępuje również potwierdzenia wiadomości e-mail prośbami o autoryzację urządzenia, nakłaniając w ten sposób użytkownika do podania kodu autoryzacyjnego.
Aby zmniejszyć ryzyko stania się ofiarą złośliwego oprogramowania, takiego jak Rilide, ważne jest, aby instalować rozszerzenia wyłącznie z renomowanych źródeł i przeglądać i regularnie odinstalowywać niepotrzebne rozszerzenia. Ponadto użytkownicy powinni aktualizować swoją przeglądarkę i system operacyjny za pomocą najnowszych poprawek bezpieczeństwa i używać niezawodnego oprogramowania antywirusowego.
