A Rilide Stealer a Chromium platformot célozza meg
Egy új, Rilide néven ismert rosszindulatú programot fedeztek fel, amely a Chromium-alapú webböngészőket célozza meg.
Ez a rosszindulatú program legitim Google Drive-bővítménynek álcázza magát, hogy bizalmas információkat gyűjtsön és kriptovalutát szippantson ki. A Trustwave SpiderLabs Research feltárta, hogy a Rilide lehetővé teszi a rosszindulatú szereplők számára, hogy számos káros tevékenységet hajtsanak végre, például képernyőképeket készítsenek, böngészési előzményeket figyeljenek, és káros szkripteket fecskendezzenek be, hogy pénzt vonjanak ki különböző kriptovaluta tőzsdékről. Ez a lopó rosszindulatú program azzal is megtévesztheti a felhasználókat, hogy hamis párbeszédpaneleket jelenít meg a kétfaktoros hitelesítési kód kinyerésére a digitális eszközök visszavonásához.
A Trustwave két kampányt, az Ekipa RAT-ot és az Aurora Stealert azonosította a rosszindulatú böngészőbővítmény telepítéséért. Az Ekipa RAT-ot a csapdába esett Microsoft Publisher-fájlokon keresztül terjesztik, míg az Aurora Stealer-t a szélhámos Google Ads-en keresztül szállítják. Mindkét támadás egy Rust-alapú betöltő segítségével módosítja a böngésző LNK parancsikonfájlját, és elindítja a kiegészítőt a „--load-extension” parancssori kapcsolóval. A Rilide pontos eredete ismeretlen, de a Trustwave 2022 márciusában felfedezett egy földalatti fórumbejegyzést, amely egy hasonló funkciókkal rendelkező botnet eladását hirdette.
A rosszindulatú program néhány forráskódja kiszivárgott a fórumokon, és felfedte, hogy a vágólapon lévő kriptovaluta pénztárca címei felcserélhetők egy, a mintában szereplő, keményen kódolt, színész által vezérelt címmel.
Mik azok a kripto- és információlopók?
A kriptoszlopok és az infolopók olyan rosszindulatú programok, amelyeket arra terveztek, hogy információkat lopjanak el az áldozatok eszközeiről.
A cryptostealer, ahogy a neve is sugallja, egy olyan rosszindulatú program, amely a kriptovaluták ellopására összpontosít. Ezek a rosszindulatú programok ellophatják az áldozat kriptovaluta pénztárca hitelesítő adatait vagy privát kulcsait, lehetővé téve a támadó számára, hogy hozzáférjen az áldozat pénzeszközeihez. A kriptoszlopok figyelhetik az áldozat vágólapját is, hogy a kriptovaluta pénztárca címeit a támadó saját címére cseréljék, ehelyett a támadó pénztárcájába irányítva a pénzt.
Az infolopók viszont olyan rosszindulatú programok, amelyeket arra terveztek, hogy az áldozat eszközéről sokféle érzékeny információt lopjanak el. Rögzíthetik a bejelentkezési adatokat, személyes adatokat, banki adatokat és egyéb érzékeny adatokat. Az infolopók képernyőképeket és billentyűleütéseket is rögzíthetnek, így a támadó figyelemmel kísérheti az áldozat tevékenységét, és ellophatja a bevitt érzékeny adatokat.
Mind a cryptostealers, mind az infostealers terjeszthető adathalász e-maileken, rosszindulatú letöltéseken keresztül vagy a szoftverek sebezhetőségeinek kihasználásával. Fontos, hogy használjon kártevőirtó szoftvert, tartsa naprakészen a szoftvert, és kerülje a gyanús hivatkozásokra való kattintást vagy a mellékletek letöltését ismeretlen forrásból, hogy megvédje magát ezekkel a fenyegetéssel szemben.