Rilide Stealer
Разкрита е неизвестна досега заплаха от злонамерен софтуер, наречена Rilide Stealer, насочена към уеб браузъри, базирани на двигателя Chromium. Зловреден софтуер е предназначен да заблуждава потребителите, като се маскира като легитимно разширение на Google Drive. Веднъж инсталиран обаче, той може да извършва различни злонамерени дейности, включително наблюдение на хронологията на сърфирането на потребителя, правене на екранни снимки и инжектиране на вредни скриптове.
Rilide Stealer също е способен да краде чувствителни данни и да източва криптовалута от различни крипто борси. Rilide е оборудван с възможността да показва фалшиви подкани, които подвеждат потребителите да въведат двуфакторен код за удостоверяване. В резултат на това зловредният софтуер може да изтегли цифрови активи от акаунта на жертвата. Това прави Rilide значителна заплаха за всеки, който използва базиран на Chromium уеб браузър. Подробности за Rilide Stealer и неговите кампании за атака бяха публикувани в доклад на изследователите от Trustwave SpiderLabs Research.
Съдържание
Две различни кампании за атака разгръщат Rilide Stealer
Според обявените констатации бяха открити две отделни атаки – едната използваше Ekipa RAT , а другата използваше Aurora Stealer за инсталиране на зловреден софтуер Rilide, представящ се като разширение на браузъра. Ekipa RAT се разпространява чрез файлове на Microsoft Publisher, които са били манипулирани, докато Aurora Stealer използва измамни Google Ads, за да се разпространява, тактика, която нарасна в популярност сред киберпрестъпниците. И двете вериги за атака позволяват изпълнението на базиран на Rust зареждащ механизъм. След като бъде активиран, той модифицира LNK файла за бърз достъп на браузъра и с помощта на командния ред „--load-extension“ стартира добавката на браузъра.
Rilide Stealer е в състояние да извърши автоматично теглене на криптовалута
Rilide Stealer е оборудван с функция за автоматично теглене от борси за криптовалута. Докато тази функция работи във фонов режим, потребителят вижда диалогов прозорец за подправено удостоверяване на устройство, който имитира често използвана легитимна защитна функция, за да получи кода за 2FA (двуфакторно удостоверяване). Този код е мярка за сигурност, използвана за потвърждаване на самоличността на потребителя и одобряване на заявката за теглене.
Освен това Rilide има способността да замества потвържденията по имейл, изпратени от борсата, които уведомяват потребителя за заявката за теглене. Ако потребителят въведе своя имейл акаунт, използвайки същия уеб браузър, тези потвърждения се сменят в движение. Потвърждението по имейл за заявката за теглене вместо това се заменя със заявка за оторизация на устройството, подвеждайки потребителя да предостави кода за оторизация. В резултат на това нападателят може да игнорира мерките за сигурност, въведени от борсата, и да открадне средства от акаунта на потребителя.
Киберпрестъпниците продължават да разработват сложни заплахи
The Rilide stealer е пример за нарастващата сложност на злонамерените разширения на браузъра. Rilide се маскира като легитимно разширение на Google Drive, но всъщност е инструмент, използван от заплахи за извършване на широк спектър от злонамерени дейности. Тези дейности включват правене на екранни снимки, шпиониране на историята на сърфиране на жертвите и инжектиране на злонамерени скриптове за кражба на средства от обмен на криптовалута.
Бъдете бдителни и внимавайте, когато работите с нежелани имейли или съобщения. За да намалите риска да станете жертва на фишинг атаки, също така е от първостепенно значение да бъдете информирани и обучени относно най-новите заплахи за киберсигурността и най-добрите практики за тяхното спиране. Като се информират за най-новите разработки в киберсигурността, хората могат да предприемат проактивни мерки за защита на личната си информация и защита срещу потенциални атаки
