Rilide Stealer cible la plate-forme Chromium
Un nouveau malware connu sous le nom de Rilide a été découvert, qui cible les navigateurs Web basés sur Chromium.
Ce malware se déguise en une extension légitime de Google Drive pour collecter des informations sensibles et siphonner la crypto-monnaie. Trustwave SpiderLabs Research a révélé que Rilide permet aux acteurs malveillants d'effectuer plusieurs activités nuisibles telles que la prise de captures d'écran, la surveillance de l'historique de navigation et l'injection de scripts nuisibles pour retirer des fonds de divers échanges de crypto-monnaie. Ce malware voleur peut également tromper les utilisateurs en affichant de fausses boîtes de dialogue pour extraire un code d'authentification à deux facteurs afin de retirer des actifs numériques.
Deux campagnes, Ekipa RAT et Aurora Stealer, ont été identifiées par Trustwave comme étant responsables de l'installation de l'extension de navigateur malveillante. Ekipa RAT se propage via des fichiers Microsoft Publisher piégés, tandis qu'Aurora Stealer est diffusé via des annonces Google malveillantes. Les deux attaques utilisent un chargeur basé sur Rust pour modifier le fichier de raccourci LNK du navigateur et lancer le module complémentaire à l'aide du commutateur de ligne de commande "--load-extension". Les origines exactes de Rilide restent inconnues, mais un message de forum clandestin annonçant la vente d'un botnet aux fonctionnalités similaires a été découvert par Trustwave en mars 2022.
Une partie du code source du logiciel malveillant a été divulguée sur des forums, révélant la possibilité d'échanger des adresses de portefeuille de crypto-monnaie dans le presse-papiers avec une adresse contrôlée par un acteur codée en dur dans l'échantillon.
Qu'est-ce que la crypto et les voleurs d'informations ?
Les cryptostealers et les infostealers sont des types de logiciels malveillants conçus pour voler des informations sur les appareils des victimes.
Un cryptostealer, comme son nom l'indique, est un type de malware qui se concentre sur le vol de crypto-monnaie. Ces programmes malveillants peuvent voler les informations d'identification du portefeuille de crypto-monnaie ou les clés privées de la victime, permettant à l'attaquant d'accéder aux fonds de la victime. Les cryptostealers peuvent également surveiller le presse-papiers de la victime pour remplacer les adresses de portefeuille de crypto-monnaie par la propre adresse de l'attaquant, détournant les fonds vers le portefeuille de l'attaquant à la place.
Les voleurs d'informations, quant à eux, sont des logiciels malveillants conçus pour voler un large éventail d'informations sensibles sur l'appareil de la victime. Ils peuvent capturer des identifiants de connexion, des informations personnelles, des coordonnées bancaires et d'autres données sensibles. Les voleurs d'informations peuvent également capturer des captures d'écran et enregistrer des frappes au clavier, permettant à l'attaquant de surveiller les activités de la victime et de voler toutes les données sensibles qu'ils saisissent.
Les cryptostealers et les infostealers peuvent être distribués par le biais d'e-mails de phishing, de téléchargements malveillants ou en exploitant les vulnérabilités des logiciels. Il est important d'utiliser un logiciel anti-malware, de maintenir le logiciel à jour et d'éviter de cliquer sur des liens suspects ou de télécharger des pièces jointes provenant de sources inconnues pour se protéger contre ces menaces.
