라일라이드 스틸러

이전에 알려지지 않은 Rilide Stealer라는 악성코드 위협이 Chromium 엔진을 기반으로 하는 웹 브라우저를 대상으로 하는 것으로 밝혀졌습니다. 이 멀웨어는 합법적인 Google 드라이브 확장 프로그램으로 위장하여 사용자를 속이도록 설계되었습니다. 그러나 일단 설치되면 사용자의 검색 기록 모니터링, 스크린샷 촬영, 유해 스크립트 주입 등 다양한 악성 활동을 수행할 수 있습니다.

Rilide Stealer는 민감한 데이터를 훔치고 다양한 암호화폐 거래소에서 암호화폐를 빼돌릴 수도 있습니다. Rilide는 사용자가 2단계 인증 코드를 입력하도록 속이는 가짜 프롬프트를 표시하는 기능을 갖추고 있습니다. 결과적으로 악성코드는 피해자의 계정에서 디지털 자산을 인출할 수 있게 됩니다. 이로 인해 Rilide는 Chromium 기반 웹 브라우저를 사용하는 모든 사람에게 심각한 위협이 됩니다. Rilide Stealer와 그 공격 캠페인에 대한 자세한 내용은 Trustwave SpiderLabs Research의 연구원이 작성한 보고서에서 대중에게 공개되었습니다.

두 개의 서로 다른 공격 캠페인에서 Rilide Stealer 배치

발표된 조사 결과에 따르면 두 가지 별도의 공격이 발견되었습니다. 하나는 Ekipa RAT를 사용하는 것이고 다른 하나는 Aurora Stealer를 사용하여 브라우저 확장 프로그램으로 위장한 Rilide 악성코드를 설치하는 것입니다. Ekipa RAT는 변조된 Microsoft Publisher 파일을 통해 확산되는 반면 Aurora Stealer는 악성 Google Ads를 사용하여 사이버 범죄자들 사이에서 인기를 얻은 전술인 자체 배포 전술을 사용합니다. 두 공격 체인 모두 Rust 기반 로더를 실행할 수 있습니다. 활성화된 후 브라우저의 LNK 바로 가기 파일을 수정하고 "--load-extension" 명령줄을 사용하여 브라우저 애드온을 시작합니다.

Rilide Stealer는 자동 암호 화폐 인출을 수행할 수 있습니다.

Rilide Stealer는 암호화폐 거래소에서 자동 출금 기능을 탑재하고 있습니다. 이 기능이 백그라운드에서 작동하는 동안 사용자는 2FA(이중 요소 인증) 코드를 얻기 위해 일반적으로 사용되는 합법적인 보안 기능을 모방한 위조된 장치 인증 대화 상자를 보게 됩니다. 이 코드는 사용자의 신원을 확인하고 출금 요청을 승인하는 데 사용되는 보안 조치입니다.

또한 Rilide는 사용자에게 출금 요청에 대해 알리는 교환에서 보낸 확인 이메일을 대체할 수 있습니다. 사용자가 동일한 웹 브라우저를 사용하여 이메일 계정을 입력하면 이러한 확인이 즉시 대체됩니다. 출금 요청에 대한 이메일 확인은 대신 장치 승인 요청으로 대체되어 사용자가 승인 코드를 제공하도록 속입니다. 결과적으로 공격자는 거래소에서 시행하는 보안 조치를 무시하고 사용자 계정에서 자금을 훔칠 수 있습니다.

사이버 범죄자는 정교한 위협을 지속적으로 개발합니다.

Rilide 스틸러는 점점 더 정교해지는 악성 브라우저 확장 프로그램의 예입니다. Rilide는 합법적인 Google 드라이브 확장 프로그램으로 위장하지만 실제로는 위협 행위자가 광범위한 악의적인 활동을 수행하는 데 사용하는 도구입니다. 이러한 활동에는 스크린샷 찍기, 피해자의 검색 기록 염탐, 암호화폐 거래소에서 자금을 훔치기 위한 악성 스크립트 주입 등이 포함됩니다.

요청하지 않은 이메일이나 메시지를 다룰 때는 주의를 기울이고 주의를 기울이십시오. 피싱 공격의 피해자가 될 위험을 줄이려면 최신 사이버 보안 위협과 이를 방지하기 위한 모범 사례에 대해 알리고 교육하는 것이 무엇보다 중요합니다. 사이버 보안의 최신 개발에 대한 최신 정보를 유지함으로써 개인은 개인 정보를 보호하고 잠재적인 공격으로부터 보호하기 위한 사전 조치를 취할 수 있습니다.