Sa nakalipas na ilang taon, ang mga nakakahamak na extension ng browser ay naging pangkaraniwang pangyayari, na ginagamit ng mga hacker ang mga ito upang magnakaw ng pribadong impormasyon at maging ng pera. Ngayon, ang mga mananaliksik sa cybersecurity mula sa Trustwave SpiderLabs ay may nakatuklas ng bagong strain ng malware na nagta-target ng mga wallet ng cryptocurrency. Tinaguriang Rilide, ang malware na ito ay nagpapanggap bilang isang extension ng Google Drive para sa mga browser na nakabatay sa Chromium, at kung naka-install, maaari nitong subaybayan ang kasaysayan ng pagba-browse ng biktima, kumuha ng mga screenshot, at kahit na mag-iniksyon ng mga nakakahamak na script upang mag-withdraw ng pera mula sa mga palitan ng cryptocurrency.
Paano gumagana ang Rilide?
Kapag na-install ang Rilide, nagpapatakbo ito ng script na sinusubaybayan ang mga aksyon ng biktima, tulad ng kapag lumipat sila ng mga tab o kapag natanggap ang nilalaman ng web o natapos ang pag-load ng mga pahina. Kaya’t kung ang kasalukuyang site ay tumutugma sa isang listahan ng mga target na available mula sa command and control (C2) server, naglo-load ang extension ng mga karagdagang script na maaaring magnakaw ng impormasyong nauugnay sa mga cryptocurrencies, mga kredensyal ng email account, at higit pa. Bukod pa rito, hindi rin pinapagana ng extension ang”Patakaran sa Seguridad ng Nilalaman”sa mga naka-target na website, na nagpoprotekta sa mga user laban sa mga pag-atake ng cross-site scripting sa pamamagitan ng pagharang sa pag-install ng mga panlabas na mapagkukunan.
Sabi ni Trustwave, nakakita sila ng dalawang magkahiwalay na campaign na namamahagi. ang malware. Ginamit ng isang campaign ang Google Ads at Aurora Stealer para i-load ang extension sa pamamagitan ng Rust loader, habang ang isa pang campaign ay gumamit ng Ekipa remote access trojan (RAT) para ipamahagi ang malware.
Pag-iwas sa 2FA
Ano ang naghihiwalay sa Rilide ay kung paano ito gumagamit ng”mga pekeng dialog”upang linlangin ang mga user na ibigay ang kanilang mga multi-factor na authentication key. Samakatuwid, kapag nakita ng malware na ang isang user ay may cryptocurrency exchange account, sinusubukan nitong gumawa ng kahilingan sa pag-withdraw sa background habang nagpapakita ng isang pekeng dialog ng pagpapatunay ng device upang makuha ang 2FA code. Pinapalitan din ng extension ang mga kumpirmasyon sa email ng mga kahilingan sa awtorisasyon ng device, kaya nanlilinlang ang user sa pagbibigay ng authorization code.
Upang mabawasan ang panganib na mabiktima ng malware tulad ng Rilide, mahalagang mag-install ng mga extension mula lamang sa mga mapagkakatiwalaang source at upang suriin at regular na i-uninstall ang anumang hindi kinakailangang mga extension. Bukod pa rito, dapat panatilihing napapanahon ng mga user ang kanilang browser at operating system sa mga pinakabagong patch ng seguridad at gumamit ng maaasahang antivirus software.