ريلايد ستيلر
تم الكشف عن تهديد برامج ضارة غير معروف سابقًا يسمى Rilide Stealer يستهدف متصفحات الويب استنادًا إلى محرك Chromium. تم تصميم البرامج الضارة لخداع المستخدمين من خلال التنكر على أنها امتداد شرعي لـ Google Drive. ومع ذلك ، بمجرد تثبيته ، يمكنه تنفيذ مجموعة متنوعة من الأنشطة الضارة ، بما في ذلك مراقبة سجل تصفح المستخدم ، والتقاط لقطات شاشة ، وحقن البرامج النصية الضارة.
Rilide Stealer قادر أيضًا على سرقة البيانات الحساسة وسحب العملات المشفرة من مختلف عمليات تبادل العملات المشفرة. تم تجهيز Rilide بإمكانية عرض مطالبات مزيفة تخدع المستخدمين لإدخال رمز مصادقة ثنائي. نتيجة لذلك ، يصبح البرنامج الضار قادرًا على سحب الأصول الرقمية من حساب الضحية. هذا يجعل Rilide تهديدًا كبيرًا لأي شخص يستخدم متصفح الويب المستند إلى Chromium. تم الكشف عن تفاصيل حول Rilide Stealer وحملاتها الهجومية للجمهور في تقرير أعده الباحثون في Trustwave SpiderLabs Research.
جدول المحتويات
حملتا هجوم مختلفتان تنشران Rilide Stealer
وفقًا للنتائج المعلنة ، تم اكتشاف هجومين منفصلين - أحدهما باستخدام Ekipa RAT بينما استخدم الآخر Aurora Stealer لتثبيت برنامج Rilide الضار الذي يمثل امتدادًا للمتصفح. ينتشر Ekipa RAT من خلال ملفات Microsoft Publisher التي تم العبث بها ، بينما تستخدم Aurora Stealer إعلانات Google المارقة لتوزيع نفسها ، وهو تكتيك نمت شعبيته بين مجرمي الإنترنت. تتيح كلا سلسلتي الهجوم تنفيذ محمل قائم على الصدأ. بعد التنشيط ، يقوم بتعديل ملف اختصار LNK الخاص بالمستعرض ، وباستخدام سطر الأوامر "--load-extension" ، يقوم بتشغيل الوظيفة الإضافية للمستعرض.
Rilide Stealer قادر على إجراء سحب تلقائي للعملات المشفرة
تم تجهيز Rilide Stealer بوظيفة سحب تلقائي من بورصات العملات المشفرة. أثناء عمل هذه الوظيفة في الخلفية ، يرى المستخدم مربع حوار مصادقة الجهاز المزيف ، والذي يحاكي ميزة أمان شرعية شائعة الاستخدام ، من أجل الحصول على رمز المصادقة الثنائية (2FA). هذا الرمز هو إجراء أمني يستخدم لتأكيد هوية المستخدم والموافقة على طلب السحب.
علاوة على ذلك ، لدى Rilide القدرة على استبدال تأكيدات البريد الإلكتروني التي ترسلها البورصة ، والتي تُعلم المستخدم بطلب السحب. إذا قام المستخدم بإدخال حساب بريده الإلكتروني باستخدام متصفح الويب نفسه ، فسيتم استبدال هذه التأكيدات على الفور. بدلاً من ذلك ، يتم استبدال تأكيد البريد الإلكتروني لطلب السحب بطلب ترخيص الجهاز ، مما يؤدي إلى خداع المستخدم لتقديم رمز التفويض. نتيجة لذلك ، يكون المهاجم قادرًا على تجاهل الإجراءات الأمنية التي وضعتها البورصة وسرقة الأموال من حساب المستخدم.
يواصل مجرمو الإنترنت تطوير التهديدات المعقدة
يعد Rilide Stealer مثالاً على التطور المتزايد لملحقات المستعرضات الضارة. يتنكر Rilide على أنه امتداد شرعي لـ Google Drive ولكنه في الواقع أداة تستخدم من قبل الجهات المهددة لتنفيذ مجموعة واسعة من الأنشطة الضارة. تتضمن هذه الأنشطة التقاط لقطات للشاشة والتجسس على سجل تصفح الضحايا وحقن نصوص ضارة لسرقة الأموال من عمليات تبادل العملات المشفرة.
كن يقظًا وتوخي الحذر عند التعامل مع رسائل البريد الإلكتروني أو الرسائل غير المرغوب فيها. لتقليل مخاطر الوقوع ضحية لهجمات التصيد ، من الأهمية بمكان أيضًا أن يتم إعلامك وتثقيفك بشأن أحدث تهديدات الأمن السيبراني وأفضل الممارسات لإيقافها. من خلال مواكبة آخر التطورات في مجال الأمن السيبراني ، يمكن للأفراد اتخاذ تدابير استباقية لحماية معلوماتهم الشخصية والحماية من الهجمات المحتملة
