Rilide Stealer prende di mira la piattaforma Chromium
È stato scoperto un nuovo malware noto come Rilide, che prende di mira i browser Web basati su Chromium.
Questo malware si maschera da legittima estensione di Google Drive per raccogliere informazioni sensibili e sottrarre criptovaluta. La ricerca Trustwave SpiderLabs ha rivelato che Rilide consente agli attori malintenzionati di svolgere diverse attività dannose come l'acquisizione di schermate, il monitoraggio della cronologia di navigazione e l'iniezione di script dannosi per prelevare fondi da vari scambi di criptovalute. Questo malware stealer può anche ingannare gli utenti visualizzando finestre di dialogo false per estrarre un codice di autenticazione a due fattori per prelevare risorse digitali.
Due campagne, Ekipa RAT e Aurora Stealer, sono state identificate da Trustwave come responsabili dell'installazione dell'estensione dannosa del browser. Ekipa RAT viene diffuso tramite file di Microsoft Publisher trappole esplosive, mentre Aurora Stealer viene fornito tramite Google Ads canaglia. Entrambi gli attacchi utilizzano un caricatore basato su Rust per modificare il file di collegamento LNK del browser e avviare il componente aggiuntivo utilizzando l'opzione della riga di comando "--load-extension". Le origini esatte di Rilide rimangono sconosciute, ma nel marzo 2022 Trustwave ha scoperto un post su un forum clandestino che pubblicizzava la vendita di una botnet con funzionalità simili.
Parte del codice sorgente del malware è trapelato sui forum, rivelando la possibilità di scambiare gli indirizzi del portafoglio di criptovaluta negli appunti con un indirizzo controllato dall'attore codificato nel campione.
Cosa sono i crypto e gli infostealer?
I cryptostealer e gli infostealer sono tipi di malware progettati per rubare informazioni dai dispositivi delle vittime.
Un cryptostealer, come suggerisce il nome, è un tipo di malware che si concentra sul furto di criptovalute. Questi programmi dannosi possono rubare le credenziali del portafoglio di criptovaluta o le chiavi private della vittima, consentendo all'attaccante di ottenere l'accesso ai fondi della vittima. I ladri di criptovalute possono anche monitorare gli appunti della vittima per sostituire gli indirizzi del portafoglio di criptovaluta con l'indirizzo dell'attaccante, deviando invece i fondi sul portafoglio dell'attaccante.
Gli infostealer, invece, sono malware progettati per rubare un'ampia gamma di informazioni sensibili dal dispositivo della vittima. Possono acquisire credenziali di accesso, informazioni personali, dettagli bancari e altri dati sensibili. Gli infostealer possono anche acquisire schermate e registrare sequenze di tasti, consentendo all'attaccante di monitorare le attività della vittima e rubare tutti i dati sensibili inseriti.
Sia i cryptostealer che gli infostealer possono essere distribuiti tramite e-mail di phishing, download dannosi o sfruttando le vulnerabilità del software. È importante utilizzare un software anti-malware, mantenere il software aggiornato ed evitare di fare clic su collegamenti sospetti o scaricare allegati da fonti sconosciute per proteggersi da queste minacce.
