Trong vài năm qua, các tiện ích mở rộng độc hại của trình duyệt đã trở thành một hiện tượng phổ biến, với việc tin tặc sử dụng chúng để đánh cắp thông tin cá nhân và thậm chí cả tiền. Giờ đây, các nhà nghiên cứu an ninh mạng từ Trustwave SpiderLabs có đã phát hiện một dòng phần mềm độc hại mới nhắm mục tiêu vào các ví tiền điện tử. Được đặt tên là Rilide, phần mềm độc hại này đóng vai trò là tiện ích mở rộng của Google Drive dành cho các trình duyệt dựa trên Chromium và nếu được cài đặt, phần mềm độc hại này có thể theo dõi lịch sử duyệt web của nạn nhân, chụp ảnh màn hình và thậm chí tiêm các tập lệnh độc hại để rút tiền từ các sàn giao dịch tiền điện tử.
Rilide hoạt động như thế nào?
Sau khi Rilide được cài đặt, nó sẽ chạy một tập lệnh giám sát hành động của nạn nhân, chẳng hạn như khi họ chuyển tab hoặc khi nhận được nội dung web hoặc tải xong các trang. Vì vậy, nếu trang web hiện tại khớp với danh sách các mục tiêu có sẵn từ máy chủ chỉ huy và kiểm soát (C2), tiện ích mở rộng sẽ tải các tập lệnh bổ sung có thể đánh cắp thông tin liên quan đến tiền điện tử, thông tin đăng nhập tài khoản email, v.v. Ngoài ra, tiện ích mở rộng cũng vô hiệu hóa “Chính sách bảo mật nội dung” trên các trang web được nhắm mục tiêu, chính sách này bảo vệ người dùng khỏi các cuộc tấn công tập lệnh chéo trang bằng cách chặn cài đặt các tài nguyên bên ngoài.
Trustwave cho biết họ đã tìm thấy hai chiến dịch riêng biệt đã phân phối phần mềm độc hại. Một chiến dịch đã sử dụng Google Ads và Aurora Stealer để tải tiện ích mở rộng qua trình tải Rust, trong khi chiến dịch còn lại sử dụng trojan truy cập từ xa (RAT) của Ekipa để phân phối phần mềm độc hại.
Tránh 2FA
Điều khiến Rilide khác biệt là cách nó sử dụng “các hộp thoại giả mạo” để lừa người dùng đưa ra các khóa xác thực đa yếu tố của họ. Do đó, khi phần mềm độc hại phát hiện ra rằng người dùng có tài khoản trao đổi tiền điện tử, nó sẽ cố gắng thực hiện yêu cầu rút tiền ở chế độ nền trong khi hiển thị hộp thoại xác thực thiết bị giả mạo để lấy mã 2FA. Tiện ích mở rộng cũng thay thế xác nhận email bằng yêu cầu ủy quyền thiết bị, do đó lừa người dùng cung cấp mã ủy quyền.
Để giảm nguy cơ trở thành nạn nhân của phần mềm độc hại như Rilide, điều quan trọng là chỉ cài đặt tiện ích mở rộng từ các nguồn có uy tín và để xem xét và thường xuyên gỡ cài đặt mọi tiện ích mở rộng không cần thiết. Ngoài ra, người dùng nên cập nhật trình duyệt và hệ điều hành của mình bằng các bản vá bảo mật mới nhất, đồng thời sử dụng phần mềm diệt vi-rút đáng tin cậy.