Rilide Stealer が Chromium プラットフォームを標的に
Rilide と呼ばれる新しいマルウェアが発見されました。このマルウェアは、Chromium ベースの Web ブラウザーを標的としています。
このマルウェアは、正当な Google ドライブの拡張機能に偽装して機密情報を収集し、暗号通貨を吸い上げます。 Trustwave SpiderLabs Research は、悪意のあるアクターがスクリーンショットの撮影、閲覧履歴の監視、さまざまな仮想通貨取引所から資金を引き出すための有害なスクリプトの挿入など、いくつかの有害な活動を実行できることを明らかにしました。このスティーラー マルウェアは、偽のダイアログを表示して 2 要素認証コードを抽出し、デジタル資産を引き出すことで、ユーザーをだますこともできます。
Trustwave は、Ekipa RAT と Aurora Stealer という 2 つのキャンペーンが、悪意のあるブラウザ拡張機能のインストールに関与していると特定しました。 Ekipa RAT はブービー トラップされた Microsoft Publisher ファイルを介して拡散され、Aurora Stealer は不正な Google 広告を介して配信されます。どちらの攻撃も、Rust ベースのローダーを使用してブラウザーの LNK ショートカット ファイルを変更し、「--load-extension」コマンド ライン スイッチを使用してアドオンを起動します。 Rilide の正確な起源は不明のままですが、Trustwave は 2022 年 3 月に同様の機能を持つボットネットの販売を宣伝するアンダーグラウンド フォーラムの投稿を発見しました。
マルウェアのソース コードの一部がフォーラムに流出しており、クリップボード内の暗号通貨ウォレット アドレスを、サンプルにハードコーディングされた攻撃者が制御するアドレスと交換できることが明らかになりました。
クリプトとインフォスティーラーとは?
クリプトスティーラーとインフォスティーラーは、被害者のデバイスから情報を盗むように設計されたマルウェアの一種です。
クリプトスティーラーは、名前が示すように、暗号通貨を盗むことに焦点を当てた一種のマルウェアです。これらの悪意のあるプログラムは、被害者の暗号通貨ウォレットの資格情報または秘密鍵を盗み、攻撃者が被害者の資金にアクセスできるようにします。クリプトスティーラーは、被害者のクリップボードを監視して、暗号通貨ウォレットのアドレスを攻撃者自身のアドレスに置き換え、代わりに攻撃者のウォレットに資金を流用することもできます。
一方、Infostealer は、被害者のデバイスからさまざまな機密情報を盗むように設計されたマルウェアです。ログイン資格情報、個人情報、銀行の詳細、およびその他の機密データを取得できます。 Infostealer は、スクリーンショットをキャプチャしてキーストロークを記録することもできるため、攻撃者は被害者の活動を監視し、入力した機密データを盗むことができます。
クリプトスティーラーとインフォスティーラーはどちらも、フィッシング メール、悪意のあるダウンロード、またはソフトウェアの脆弱性を悪用することによって配布される可能性があります。これらの脅威から保護するには、マルウェア対策ソフトウェアを使用し、ソフトウェアを最新の状態に保ち、疑わしいリンクをクリックしたり、未知のソースから添付ファイルをダウンロードしたりしないようにすることが重要です。