Rilide Stealer tem como alvo a plataforma Chromium

Foi descoberto um novo malware conhecido como Rilide, que tem como alvo navegadores da web baseados em Chromium.

Esse malware se disfarça como uma extensão legítima do Google Drive para coletar informações confidenciais e desviar criptomoedas. A Trustwave SpiderLabs Research revelou que o Rilide permite que atores mal-intencionados realizem várias atividades prejudiciais, como tirar capturas de tela, monitorar o histórico de navegação e injetar scripts prejudiciais para retirar fundos de várias trocas de criptomoedas. Esse malware ladrão também pode enganar os usuários exibindo diálogos falsos para extrair um código de autenticação de dois fatores para retirar ativos digitais.

Duas campanhas, Ekipa RAT e Aurora Stealer, foram identificadas pela Trustwave como responsáveis pela instalação da extensão maliciosa do navegador. O Ekipa RAT é distribuído por meio de arquivos do Microsoft Publisher com armadilhas, enquanto o Aurora Stealer é distribuído por meio de anúncios desonestos do Google. Ambos os ataques usam um carregador baseado em Rust para modificar o arquivo de atalho LNK do navegador e iniciar o complemento usando a opção de linha de comando "--load-extension". As origens exatas do Rilide permanecem desconhecidas, mas uma postagem em um fórum clandestino anunciando a venda de uma botnet com funcionalidades semelhantes foi descoberta pela Trustwave em março de 2022.

Parte do código-fonte do malware vazou em fóruns, revelando a capacidade de trocar endereços de carteira de criptomoeda na área de transferência por um endereço controlado por ator codificado na amostra.

O que são cripto e infostealers?

Cryptostealers e infostealers são tipos de malware projetados para roubar informações dos dispositivos das vítimas.

Um cryptostealer, como o nome sugere, é um tipo de malware que se concentra em roubar criptomoedas. Esses programas maliciosos podem roubar as credenciais da carteira de criptomoedas ou chaves privadas da vítima, permitindo que o invasor obtenha acesso aos fundos da vítima. Criptostealers também podem monitorar a área de transferência da vítima para substituir os endereços da carteira de criptomoedas pelo endereço do próprio invasor, desviando fundos para a carteira do invasor.

Os infostealers, por outro lado, são malwares projetados para roubar uma ampla variedade de informações confidenciais do dispositivo da vítima. Eles podem capturar credenciais de login, informações pessoais, detalhes bancários e outros dados confidenciais. Os infostealers também podem capturar capturas de tela e registrar as teclas digitadas, permitindo que o invasor monitore as atividades da vítima e roube quaisquer dados confidenciais inseridos.

Tanto os cryptostealers quanto os infostealers podem ser distribuídos por e-mails de phishing, downloads maliciosos ou pela exploração de vulnerabilidades em software. É importante usar um software antimalware, manter o software atualizado e evitar clicar em links suspeitos ou baixar anexos de fontes desconhecidas para se proteger contra essas ameaças.