Rilide Stealer
Avastati varem tundmatu pahavaraoht nimega Rilide Stealer, mis sihib Chromiumi mootoril põhinevaid veebibrausereid. Pahavara on loodud kasutajate petmiseks, maskeerides end seadusliku Google Drive'i laiendusena. Kuid pärast installimist võib see läbi viia mitmesuguseid pahatahtlikke tegevusi, sealhulgas jälgida kasutaja sirvimisajalugu, teha ekraanipilte ja sisestada kahjulikke skripte.
Rilide Stealer on võimeline ka varastama tundlikke andmeid ja hankima krüptovaluutat erinevatest krüptobörsidest. Rilide on varustatud võimalusega kuvada võltsitud viipasid, mis meelitavad kasutajaid kahefaktorilise autentimiskoodi sisestama. Selle tulemusena muutub pahavara võimeliseks digitaalseid varasid ohvri kontolt välja võtma. See muudab Rilide oluliseks ohuks kõigile, kes kasutavad Chromiumi-põhist veebibrauserit. Üksikasjad Rilide Stealeri ja selle rünnakukampaaniate kohta avaldati Trustwave SpiderLabs Researchi teadlaste aruandes.
Sisukord
Kaks erinevat rünnakukampaaniat võtavad kasutusele Rilide Stealeri
Väljakuulutatud leidude kohaselt avastati kaks eraldi rünnakut – üks kasutas Ekipa RAT-i, teine aga Aurora Stealeri, et installida Rilide'i pahavara, mis kujutas endast brauserilaiendust. Ekipa RAT levib Microsoft Publisheri failide kaudu, mida on rikutud, samas kui Aurora Stealer kasutab enda levitamiseks petturitest Google Adsi, mis on küberkurjategijate seas üha populaarsemaks muutunud. Mõlemad ründeahelad võimaldavad käivitada roostepõhise laaduri. Pärast aktiveerimist muudab see brauseri LNK otseteefaili ja käsurida "--load-extension" kasutades käivitab brauseri lisandmooduli.
Rilide Stealer suudab automaatset krüptovaluutat välja võtta
Rilide Stealer on varustatud krüptovaluutabörsidelt automaatse väljavõtmise funktsiooniga. Kui see funktsioon töötab taustal, näeb kasutaja 2FA (kahefaktorilise autentimise) koodi saamiseks võltsitud seadme autentimise dialoogiboksi, mis jäljendab tavaliselt kasutatavat seaduslikku turvafunktsiooni. See kood on turvameede, mida kasutatakse kasutaja identiteedi kinnitamiseks ja taganemistaotluse kinnitamiseks.
Lisaks on Rilidel võimalus asendada börsi saadetud meilikinnitused, mis teavitavad kasutajat taganemistaotlusest. Kui kasutaja sisestab oma e-posti konto sama veebibrauseriga, asendatakse need kinnitused käigult. Taganemistaotluse meilikinnitus asendatakse selle asemel seadme autoriseerimistaotlusega, mis meelitab kasutajalt autoriseerimiskoodi. Selle tulemusena saab ründaja eirata börsi poolt kehtestatud turvameetmeid ja varastada kasutaja kontolt raha.
Küberkurjategijad jätkavad keerukate ohtude väljatöötamist
Rilide stealer on näide pahatahtlike brauserilaiendite üha keerukamaks muutumisest. Rilide maskeerib end seadusliku Google Drive'i laiendusena, kuid on tegelikult tööriist, mida ohus osalejad kasutavad mitmesuguste pahatahtlike tegevuste läbiviimiseks. Nende tegevuste hulka kuuluvad ekraanipiltide tegemine, ohvrite sirvimisajaloo järele luuramine ja pahatahtlike skriptide süstimine, et varastada krüptovaluutabörsidelt raha.
Olge valvas ja olge ettevaatlik, kui käsitlete soovimatuid e-kirju või sõnumeid. Andmepüügirünnakute ohvriks langemise ohu vähendamiseks on ülimalt oluline olla kursis ja haritud viimaste küberjulgeolekuohtude ja nende peatamise parimate tavade kohta. Küberturvalisuse viimaste arengutega kursis hoides saavad üksikisikud võtta ennetavaid meetmeid, et kaitsta oma isikuandmeid ja kaitsta end võimalike rünnakute eest
