Rilide Stealer celuje w platformę Chromium

Odkryto nowe złośliwe oprogramowanie znane jako Rilide, którego celem są przeglądarki internetowe oparte na Chromium.

To złośliwe oprogramowanie podszywa się pod legalne rozszerzenie Dysku Google w celu zbierania poufnych informacji i wysysania kryptowaluty. Badanie Trustwave SpiderLabs ujawniło, że Rilide umożliwia szkodliwym podmiotom wykonywanie kilku szkodliwych działań, takich jak robienie zrzutów ekranu, monitorowanie historii przeglądania i wstrzykiwanie szkodliwych skryptów w celu wypłaty środków z różnych giełd kryptowalut. To złośliwe oprogramowanie do kradzieży może również oszukiwać użytkowników, wyświetlając fałszywe okna dialogowe w celu wyodrębnienia kodu uwierzytelniania dwuskładnikowego w celu wycofania zasobów cyfrowych.

Dwie kampanie, Ekipa RAT i Aurora Stealer, zostały zidentyfikowane przez Trustwave jako odpowiedzialne za zainstalowanie złośliwego rozszerzenia przeglądarki. Ekipa RAT rozprzestrzenia się za pośrednictwem pułapek Microsoft Publisher, podczas gdy Aurora Stealer jest dostarczany za pośrednictwem nieuczciwych reklam Google Ads. Oba ataki używają programu ładującego opartego na Rust, aby zmodyfikować plik skrótu LNK przeglądarki i uruchomić dodatek za pomocą przełącznika wiersza poleceń „--load-extension”. Dokładne pochodzenie Rilide pozostaje nieznane, ale post na podziemnym forum reklamujący sprzedaż botnetu o podobnych funkcjonalnościach został odkryty przez Trustwave w marcu 2022 roku.

Część kodu źródłowego złośliwego oprogramowania została ujawniona na forach, ujawniając możliwość zamiany adresów portfela kryptowalut w schowku na kontrolowany przez aktora adres zakodowany na stałe w próbce.

Czym są kryptowaluty i kradzieże informacji?

Cryptostealers i infostealers to rodzaje złośliwego oprogramowania zaprojektowane w celu kradzieży informacji z urządzeń ofiar.

Cryptostealer, jak sama nazwa wskazuje, to rodzaj złośliwego oprogramowania, które koncentruje się na kradzieży kryptowaluty. Te złośliwe programy mogą ukraść dane uwierzytelniające portfela kryptowalut lub klucze prywatne ofiary, umożliwiając atakującemu uzyskanie dostępu do funduszy ofiary. Cryptostealerzy mogą również monitorować schowek ofiary, aby zastąpić adresy portfela kryptowalut własnym adresem atakującego, kierując zamiast tego środki do portfela atakującego.

Z kolei wykradacz informacji to złośliwe oprogramowanie zaprojektowane w celu kradzieży szerokiego zakresu poufnych informacji z urządzenia ofiary. Mogą przechwytywać dane logowania, dane osobowe, dane bankowe i inne poufne dane. Złodzieje informacji mogą również przechwytywać zrzuty ekranu i rejestrować naciśnięcia klawiszy, co pozwala atakującemu monitorować działania ofiary i kraść wszelkie wprowadzane przez nią poufne dane.

Zarówno kryptokradzieże, jak i kradzieże informacji mogą być dystrybuowane za pośrednictwem e-maili phishingowych, złośliwych plików do pobrania lub poprzez wykorzystywanie luk w oprogramowaniu. Ważne jest, aby używać oprogramowania chroniącego przed złośliwym oprogramowaniem, aktualizować oprogramowanie i unikać klikania podejrzanych łączy lub pobierania załączników z nieznanych źródeł w celu ochrony przed tymi zagrożeniami.