Rilide Stealer
S'ha descobert una amenaça de programari maliciós fins ara desconeguda anomenada Rilide Stealer dirigida a navegadors web basats en el motor Chromium. El programari maliciós està dissenyat per enganyar els usuaris disfressant-se d'extensió legítima de Google Drive. Tanmateix, un cop instal·lat, pot dur a terme una varietat d'activitats malicioses, com ara controlar l'historial de navegació d'un usuari, fer captures de pantalla i injectar scripts nocius.
El Rilide Stealer també és capaç de robar dades sensibles i desviar criptomoneda de diversos intercanvis criptogràfics. Rilide està equipat amb la capacitat de mostrar indicacions falses que enganyen els usuaris perquè introdueixin un codi d'autenticació de dos factors. Com a resultat, el programari maliciós és capaç de retirar actius digitals del compte de la víctima. Això fa que Rilide sigui una amenaça important per a qualsevol persona que utilitzi un navegador web basat en Chromium. Els detalls sobre Rilide Stealer i les seves campanyes d'atac es van donar a conèixer al públic en un informe dels investigadors de Trustwave SpiderLabs Research.
Taula de continguts
Dues campanyes d'atac diferents despleguen el Rilide Stealer
Segons les troballes anunciades, es van descobrir dos atacs separats: un amb Ekipa RAT i l'altre va utilitzar Aurora Stealer per instal·lar el programari maliciós Rilide fent-se passar per una extensió del navegador. Ekipa RAT es difon a través de fitxers de Microsoft Publisher que han estat manipulats, mentre que Aurora Stealer utilitza Google Ads canalla per distribuir-se, una tàctica que ha crescut en popularitat entre els ciberdelinqüents. Les dues cadenes d'atac permeten executar un carregador basat en Rust. Després d'activar-se, modifica el fitxer de drecera LNK del navegador i, mitjançant la línia d'ordres "--load-extension", llança el complement del navegador.
El Rilide Stealer és capaç de realitzar una retirada automàtica de criptomonedes
Rilide Stealer està equipat amb una funció de retirada automàtica dels intercanvis de criptomoneda. Si bé aquesta funció funciona en segon pla, l'usuari veu un quadre de diàleg d'autenticació del dispositiu falsificat, que imita una funció de seguretat legítima d'ús habitual, per tal d'obtenir el codi 2FA (autenticació de dos factors). Aquest codi és una mesura de seguretat que s'utilitza per confirmar la identitat de l'usuari i aprovar la sol·licitud de retirada.
A més, Rilide té la capacitat de substituir les confirmacions de correu electrònic enviades per l'intercanvi, que notifiquen a l'usuari sobre la sol·licitud de retirada. Si l'usuari introdueix el seu compte de correu electrònic utilitzant el mateix navegador web, aquestes confirmacions es substitueixen sobre la marxa. La confirmació per correu electrònic de la sol·licitud de retirada es substitueix per una sol·licitud d'autorització del dispositiu, enganyant l'usuari perquè proporcioni el codi d'autorització. Com a conseqüència, l'atacant pot ignorar les mesures de seguretat establertes per l'intercanvi i robar fons del compte de l'usuari.
Els ciberdelinqüents continuen desenvolupant amenaces sofisticades
El robatori de Rilide és un exemple de la creixent sofisticació de les extensions de navegador malicioses. Rilide es disfressa d'extensió legítima de Google Drive, però en realitat és una eina utilitzada pels actors d'amenaça per dur a terme una àmplia gamma d'activitats malicioses. Aquestes activitats inclouen fer captures de pantalla, espiar l'historial de navegació de les víctimes i injectar scripts maliciosos per robar fons dels intercanvis de criptomoneda.
Estigueu atents i aneu amb compte quan tracteu correus electrònics o missatges no sol·licitats. Per reduir el risc de ser víctimes d'atacs de pesca, també és fonamental estar informat i educat sobre les últimes amenaces de ciberseguretat i les millors pràctiques per aturar-les. En mantenir-se al dia sobre els últims desenvolupaments en ciberseguretat, les persones poden prendre mesures proactives per protegir la seva informació personal i protegir-se contra possibles atacs.
