Rilide Stealer
En hidtil ukendt malwaretrussel ved navn Rilide Stealer er blevet afsløret rettet mod webbrowsere baseret på Chromium-motoren. Malwaren er designet til at bedrage brugere ved at forklæde sig selv som en legitim Google Drev-udvidelse. Men når den først er installeret, kan den udføre en række ondsindede aktiviteter, herunder at overvåge en brugers browserhistorik, tage skærmbilleder og injicere skadelige scripts.
Rilide Stealer er også i stand til at stjæle følsomme data og hæve cryptocurrency fra forskellige kryptobørser. Rilide er udstyret med muligheden for at vise falske prompter, der narrer brugere til at indtaste en to-faktor autentificeringskode. Som et resultat bliver malwaren i stand til at trække digitale aktiver fra ofrets konto. Dette gør Rilide til en betydelig trussel mod alle, der bruger en Chromium-baseret webbrowser. Detaljer om Rilide Stealer og dets angrebskampagner blev frigivet til offentligheden i en rapport fra forskerne ved Trustwave SpiderLabs Research.
Indholdsfortegnelse
To forskellige angrebskampagner Implementer Rilide Stealer
Ifølge de annoncerede resultater blev to separate angreb opdaget - det ene ved hjælp af Ekipa RAT, mens det andet brugte Aurora Stealer til at installere Rilide-malwaren, der udgjorde en browserudvidelse. Ekipa RAT spredes gennem Microsoft Publisher-filer, der er blevet pillet ved, mens Aurora Stealer bruger useriøse Google Ads til at distribuere sig selv, en taktik, der er vokset i popularitet blandt cyberkriminelle. Begge angrebskæder gør det muligt at udføre en Rust-baseret loader. Efter at være blevet aktiveret, ændrer den browserens LNK-genvejsfil og starter browsertilføjelsen ved at bruge kommandolinjen "--load-extension".
Rilide Stealer er i stand til at udføre en automatisk udbetaling af kryptovaluta
Rilide Stealer er udstyret med en automatisk tilbagetrækningsfunktion fra cryptocurrency-børser. Mens denne funktion fungerer i baggrunden, ser brugeren en forfalsket enhedsgodkendelsesdialogboks, som efterligner en almindeligt brugt legitim sikkerhedsfunktion, for at opnå 2FA-koden (tofaktorgodkendelse). Denne kode er en sikkerhedsforanstaltning, der bruges til at bekræfte brugerens identitet og godkende anmodningen om tilbagetrækning.
Ydermere har Rilide mulighed for at erstatte e-mail-bekræftelser sendt af børsen, som giver brugeren besked om anmodningen om tilbagetrækning. Hvis brugeren indtaster sin e-mail-konto ved hjælp af den samme webbrowser, erstattes disse bekræftelser med det samme. E-mail-bekræftelsen for tilbagetrækningsanmodningen erstattes i stedet med en enhedsgodkendelsesanmodning, hvilket narre brugeren til at angive autorisationskoden. Som en konsekvens heraf er angriberen i stand til at ignorere sikkerhedsforanstaltningerne, der er indført af børsen og stjæle penge fra brugerens konto.
Cyberkriminelle fortsætter med at udvikle sofistikerede trusler
Rilide-tyveren er et eksempel på den stigende sofistikering af ondsindede browserudvidelser. Rilide forklæder sig selv som en legitim Google Drev-udvidelse, men er faktisk et værktøj, der bruges af trusselsaktører til at udføre en bred vifte af ondsindede aktiviteter. Disse aktiviteter inkluderer at tage skærmbilleder, spionere på ofrenes browserhistorik og injicere ondsindede scripts for at stjæle penge fra kryptovaluta-børser.
Vær på vagt og udvis forsigtighed, når du håndterer uopfordrede e-mails eller beskeder. For at holde risikoen for at blive ofre for phishing-angreb nede, er det også altafgørende at blive informeret og uddannet om de seneste cybersikkerhedstrusler og bedste praksis for at stoppe dem. Ved at holde sig opdateret om den seneste udvikling inden for cybersikkerhed kan enkeltpersoner træffe proaktive foranstaltninger for at beskytte deres personlige oplysninger og beskytte mod potentielle angreb
