ในช่วงไม่กี่ปีที่ผ่านมา ส่วนขยายเบราว์เซอร์ที่เป็นอันตรายได้กลายเป็นปรากฏการณ์ทั่วไป โดยแฮ็กเกอร์ใช้ส่วนขยายเหล่านี้เพื่อขโมยข้อมูลส่วนตัวและแม้แต่เงิน ขณะนี้ นักวิจัยด้านความปลอดภัยในโลกไซเบอร์จาก Trustwave SpiderLabs มี ค้นพบมัลแวร์สายพันธุ์ใหม่ที่กำหนดเป้าหมายกระเป๋าเงินดิจิทัล เรียกว่า Rilide มัลแวร์นี้วางตัวเป็นส่วนขยายของ Google ไดรฟ์สำหรับเบราว์เซอร์ที่ใช้ Chromium และหากติดตั้ง มัลแวร์จะสามารถตรวจสอบประวัติการท่องเว็บของเหยื่อ จับภาพหน้าจอ และแม้แต่ใส่สคริปต์ที่เป็นอันตรายเพื่อถอนเงินจากการแลกเปลี่ยนสกุลเงินดิจิทัล
Rilide ทำงานอย่างไร
เมื่อติดตั้ง Rilide แล้ว โปรแกรมจะเรียกใช้สคริปต์ที่เฝ้าดูการกระทำของเหยื่อ เช่น เมื่อพวกเขาเปลี่ยนแท็บหรือเมื่อได้รับเนื้อหาเว็บหรือโหลดหน้าเว็บเสร็จ ดังนั้น หากไซต์ปัจจุบันตรงกับรายการเป้าหมายที่พร้อมใช้งานจากเซิร์ฟเวอร์คำสั่งและการควบคุม (C2) ส่วนขยายจะโหลดสคริปต์เพิ่มเติมที่สามารถขโมยข้อมูลที่เกี่ยวข้องกับสกุลเงินดิจิทัล ข้อมูลรับรองบัญชีอีเมล และอื่นๆ นอกจากนี้ ส่วนขยายยังปิดใช้งาน”นโยบายความปลอดภัยของเนื้อหา”บนเว็บไซต์เป้าหมาย ซึ่งป้องกันผู้ใช้จากการโจมตีด้วยสคริปต์ข้ามไซต์ด้วยการบล็อกการติดตั้งทรัพยากรภายนอก
Trustwave กล่าวว่าพวกเขาพบแคมเปญแยกกัน 2 แคมเปญที่แจกจ่าย มัลแวร์ แคมเปญหนึ่งใช้ Google Ads และ Aurora Stealer เพื่อโหลดส่วนขยายผ่านตัวโหลดสนิม ในขณะที่อีกแคมเปญหนึ่งใช้โทรจันการเข้าถึงระยะไกล Ekipa (RAT) เพื่อกระจายมัลแวร์
การหลบเลี่ยง 2FA
สิ่งที่ทำให้ Rilide แตกต่างคือ วิธีการใช้”กล่องโต้ตอบปลอม”เพื่อหลอกผู้ใช้ให้มอบคีย์การตรวจสอบสิทธิ์แบบหลายปัจจัย ดังนั้นเมื่อมัลแวร์ตรวจพบว่าผู้ใช้มีบัญชีแลกเปลี่ยนสกุลเงินดิจิทัล มัลแวร์จะพยายามขอถอนเงินในเบื้องหลังพร้อมกับแสดงกล่องโต้ตอบการตรวจสอบสิทธิ์อุปกรณ์ปลอมเพื่อรับรหัส 2FA ส่วนขยายดังกล่าวยังแทนที่การยืนยันทางอีเมลด้วยคำขอการอนุญาตอุปกรณ์ ดังนั้นจึงหลอกให้ผู้ใช้ระบุรหัสการอนุญาต
เพื่อลดความเสี่ยงของการตกเป็นเหยื่อของมัลแวร์ เช่น Rilide การติดตั้งส่วนขยายจากแหล่งที่เชื่อถือได้เท่านั้นจึงเป็นสิ่งสำคัญ เพื่อตรวจสอบและถอนการติดตั้งส่วนขยายที่ไม่จำเป็นเป็นประจำ นอกจากนี้ ผู้ใช้ควรปรับปรุงเบราว์เซอร์และระบบปฏิบัติการให้เป็นปัจจุบันด้วยแพตช์ความปลอดภัยล่าสุด และใช้ซอฟต์แวร์ป้องกันไวรัสที่เชื่อถือได้
