Rilide Stealer
Dosud neznámá malwarová hrozba jménem Rilide Stealer byla odhalena zaměřená na webové prohlížeče založené na enginu Chromium. Malware je navržen tak, aby klamal uživatele tím, že se vydává za legitimní rozšíření Disku Google. Po instalaci však může provádět různé škodlivé činnosti, včetně sledování historie prohlížení uživatele, pořizování snímků obrazovky a vkládání škodlivých skriptů.
Rilide Stealer je také schopen krást citlivá data a sifonovat kryptoměny z různých krypto burz. Rilide je vybaven schopností zobrazovat falešné výzvy, které uživatele přimějí k zadání dvoufaktorového ověřovacího kódu. Výsledkem je, že malware bude schopen stáhnout digitální aktiva z účtu oběti. Díky tomu je Rilide významnou hrozbou pro každého, kdo používá webový prohlížeč založený na Chromiu. Podrobnosti o Rilide Stealer a jeho útočných kampaních byly zveřejněny ve zprávě výzkumníků z Trustwave SpiderLabs Research.
Obsah
Dvě různé útočné kampaně Nasaďte zloděje Rilide
Podle oznámených zjištění byly objeveny dva samostatné útoky – jeden pomocí Ekipa RAT, zatímco druhý použil Aurora Stealer k instalaci malwaru Rilide vydávajícího se za rozšíření prohlížeče. Ekipa RAT se šíří prostřednictvím souborů Microsoft Publisher, se kterými bylo manipulováno, zatímco Aurora Stealer využívá k distribuci nepoctivou službu Google Ads, což je taktika, která mezi kyberzločinci roste na popularitě. Oba útočné řetězce umožňují spuštění zavaděče založeného na rzi. Po aktivaci pak upraví soubor zástupce LNK prohlížeče a pomocí příkazového řádku „--load-extension“ spustí doplněk prohlížeče.
Rilide Stealer je schopen provést automatický výběr kryptoměny
Rilide Stealer je vybaven funkcí automatického výběru z kryptoměnových burz. Zatímco tato funkce funguje na pozadí, uživatel uvidí falešné dialogové okno pro ověření zařízení, které napodobuje běžně používanou legitimní bezpečnostní funkci, aby získal kód 2FA (dvoufaktorové ověření). Tento kód je bezpečnostní opatření používané k potvrzení identity uživatele a schválení žádosti o výběr.
Kromě toho má Rilide možnost nahradit e-mailová potvrzení zaslaná burzou, která uživatele upozorní na žádost o výběr. Pokud uživatel zadá svůj e-mailový účet pomocí stejného webového prohlížeče, jsou tato potvrzení nahrazena za běhu. E-mailové potvrzení žádosti o stažení je místo toho nahrazeno žádostí o autorizaci zařízení, která uživatele přiměje poskytnout autorizační kód. V důsledku toho je útočník schopen ignorovat bezpečnostní opatření zavedená burzou a ukrást finanční prostředky z účtu uživatele.
Kyberzločinci pokračují ve vývoji sofistikovaných hrozeb
Zloděj Rilide je příkladem zvyšující se sofistikovanosti škodlivých rozšíření prohlížeče. Rilide se maskuje jako legitimní rozšíření Disku Google, ale ve skutečnosti jde o nástroj používaný aktéry hrozeb k provádění široké škály škodlivých aktivit. Tyto aktivity zahrnují pořizování snímků obrazovky, špehování historie prohlížení obětí a vkládání škodlivých skriptů za účelem krádeže finančních prostředků z kryptoměnových burz.
Při práci s nevyžádanými e-maily nebo zprávami buďte ostražití a buďte opatrní. Aby se snížilo riziko, že se stanete obětí phishingových útoků, je také prvořadé být informován a poučen o nejnovějších hrozbách kybernetické bezpečnosti a o nejlepších postupech, jak je zastavit. Díky neustálému informování o nejnovějším vývoji v oblasti kybernetické bezpečnosti mohou jednotlivci přijímat proaktivní opatření k ochraně svých osobních údajů a ochraně před potenciálními útoky.
