ریلید دزد

یک تهدید بدافزار ناشناخته به نام Rilide Stealer کشف شده است که مرورگرهای وب مبتنی بر موتور کرومیوم را هدف قرار می دهد. این بدافزار برای فریب دادن کاربران با پنهان کردن خود به عنوان یک افزونه قانونی Google Drive طراحی شده است. با این حال، پس از نصب، می تواند انواع مختلفی از فعالیت های مخرب، از جمله نظارت بر تاریخچه مرور کاربر، گرفتن اسکرین شات، و تزریق اسکریپت های مضر را انجام دهد.

Rilide Stealer همچنین می‌تواند داده‌های حساس را بدزدد و ارزهای دیجیتال را از صرافی‌های مختلف رمزنگاری کند. Rilide مجهز به قابلیت نمایش اعلان های جعلی است که کاربران را فریب می دهد تا کد احراز هویت دو مرحله ای را وارد کنند. در نتیجه، بدافزار قادر به برداشت دارایی های دیجیتال از حساب قربانی می شود. این باعث می‌شود Rilide برای هرکسی که از مرورگر وب مبتنی بر Chromium استفاده می‌کند یک تهدید مهم باشد. جزئیات مربوط به Rilide Stealer و کمپین های حمله آن در گزارشی توسط محققان Trustwave SpiderLabs Research برای عموم منتشر شد.

دو کمپین حمله مختلف، Rilide Stealer را به کار می گیرند

بر اساس یافته های اعلام شده، دو حمله جداگانه کشف شد - یکی با استفاده از Ekipa RAT در حالی که دیگری از Aurora Stealer برای نصب بدافزار Rilide که به عنوان یک افزونه مرورگر ظاهر می شد، استفاده کرد. Ekipa RAT از طریق فایل‌های Microsoft Publisher که دستکاری شده‌اند پخش می‌شود، در حالی که Aurora Stealer از Google Ads سرکش برای توزیع خود استفاده می‌کند، تاکتیکی که در بین مجرمان سایبری محبوبیت بیشتری پیدا کرده است. هر دو زنجیره حمله، لودر مبتنی بر Rust را قادر می‌سازند تا اجرا شود. پس از فعال شدن، فایل میانبر LNK مرورگر را تغییر داده و با استفاده از خط فرمان "--load-extension" افزونه مرورگر را راه اندازی می کند.

Rilide Stealer قادر به انجام برداشت خودکار ارزهای دیجیتال است

Rilide Stealer مجهز به عملکرد برداشت خودکار از صرافی‌های ارزهای دیجیتال است. در حالی که این عملکرد در پس‌زمینه کار می‌کند، کاربر یک کادر محاوره‌ای احراز هویت دستگاه جعلی را می‌بیند که از یک ویژگی امنیتی مشروع رایج استفاده می‌کند تا کد 2FA (تأیید هویت دو مرحله‌ای) را به دست آورد. این کد یک اقدام امنیتی است که برای تأیید هویت کاربر و تأیید درخواست برداشت استفاده می شود.

علاوه بر این، Rilide این امکان را دارد که تأییدیه‌های ایمیل ارسال شده توسط صرافی را جایگزین کند که کاربر را از درخواست برداشت مطلع می‌کند. اگر کاربر با استفاده از همان مرورگر وب، حساب ایمیل خود را وارد کند، این تأییدیه‌ها در همان لحظه جایگزین می‌شوند. در عوض تأیید ایمیل درخواست برداشت با درخواست مجوز دستگاه جایگزین می‌شود و کاربر را فریب می‌دهد تا کد مجوز را ارائه کند. در نتیجه، مهاجم می تواند اقدامات امنیتی اعمال شده توسط صرافی را نادیده بگیرد و وجوه را از حساب کاربر سرقت کند.

مجرمان سایبری به توسعه تهدیدهای پیچیده ادامه می دهند

دزد Rilide نمونه ای از پیچیدگی روزافزون افزونه های مرورگر مخرب است. Rilide خود را به عنوان یک برنامه افزودنی قانونی Google Drive پنهان می کند، اما در واقع ابزاری است که توسط عوامل تهدید برای انجام طیف گسترده ای از فعالیت های مخرب استفاده می شود. این فعالیت ها شامل گرفتن اسکرین شات، جاسوسی از تاریخچه مرور قربانیان و تزریق اسکریپت های مخرب برای سرقت وجوه از صرافی های ارزهای دیجیتال است.

هنگام برخورد با ایمیل ها یا پیام های ناخواسته هوشیار باشید و احتیاط کنید. برای کاهش خطر قربانی شدن در حملات فیشینگ، آگاهی و آموزش در مورد آخرین تهدیدات امنیت سایبری و بهترین شیوه‌ها برای متوقف کردن آنها نیز بسیار مهم است. با به روز نگه داشتن آخرین تحولات در امنیت سایبری، افراد می توانند اقدامات پیشگیرانه ای را برای محافظت از اطلاعات شخصی خود و محافظت در برابر حملات احتمالی انجام دهند.