Rilide Stealer
Aiemmin tuntematon haittaohjelmauhka nimeltä Rilide Stealer on paljastunut, joka kohdistuu Chromium-moottoriin perustuviin verkkoselaimiin. Haittaohjelma on suunniteltu huijaamaan käyttäjiä naamioimalla itsensä lailliseksi Google Drive -laajennukseksi. Asennuksen jälkeen se voi kuitenkin suorittaa erilaisia haitallisia toimintoja, kuten seurata käyttäjän selaushistoriaa, ottaa kuvakaappauksia ja syöttää haitallisia komentosarjoja.
Rilide Stealer pystyy myös varastamaan arkaluontoisia tietoja ja siirtämään kryptovaluuttoja eri kryptopörsseistä. Rilide on varustettu kyvyllä näyttää väärennettyjä kehotteita, jotka huijaavat käyttäjiä syöttämään kaksivaiheisen todennuskoodin. Tämän seurauksena haittaohjelma pystyy poistamaan digitaalista omaisuutta uhrin tililtä. Tämä tekee Rilidestä merkittävän uhan kaikille, jotka käyttävät Chromium-pohjaista verkkoselainta. Yksityiskohdat Rilide Stealerista ja sen hyökkäyskampanjoista julkistettiin Trustwave SpiderLabs Researchin tutkijoiden raportissa.
Sisällysluettelo
Kaksi erilaista hyökkäyskampanjaa ottavat Rilide Stealerin käyttöön
Ilmoitettujen havaintojen mukaan löydettiin kaksi erillistä hyökkäystä - yksi käytti Ekipa RAT:ia ja toinen Aurora Stealeriä asentamaan Rilide-haittaohjelman, joka esiintyi selainlaajennuksena. Ekipa RAT leviää Microsoft Publisher -tiedostojen kautta, joita on peukaloitu, kun taas Aurora Stealer käyttää petollisia Google Adsia levittääkseen itseään, taktiikka, jonka suosio on kasvanut kyberrikollisten keskuudessa. Molemmat hyökkäysketjut mahdollistavat ruostepohjaisen latausohjelman suorittamisen. Aktivoinnin jälkeen se muokkaa selaimen LNK-pikakuvaketiedostoa ja käynnistää selaimen lisäosan "--load-extension"-komentorivin avulla.
Rilide Stealer pystyy suorittamaan automaattisen kryptovaluutan noston
Rilide Stealer on varustettu automaattisella nostotoiminnolla kryptovaluuttapörsseistä. Kun tämä toiminto toimii taustalla, käyttäjä näkee väärennetyn laitteen todennusvalintaikkunan, joka jäljittelee yleisesti käytettyä laillista suojausominaisuutta saadakseen 2FA-koodin (kaksivaiheinen todennus). Tämä koodi on turvatoimenpide, jolla varmistetaan käyttäjän henkilöllisyys ja hyväksytään nostopyyntö.
Lisäksi Rilide pystyy korvaamaan pörssin lähettämiä sähköpostivahvistuksia, jotka ilmoittavat käyttäjälle nostopyynnöstä. Jos käyttäjä syöttää sähköpostitilinsä samalla verkkoselaimella, nämä vahvistukset korvataan lennossa. Sen sijaan nostopyynnön sähköpostivahvistus korvataan laitteen valtuutuspyynnöllä, mikä huijaa käyttäjää antamaan valtuutuskoodin. Tämän seurauksena hyökkääjä voi jättää huomioimatta pörssin käyttöön ottamat turvatoimenpiteet ja varastaa varoja käyttäjän tililtä.
Kyberrikolliset kehittävät edelleen kehittyneitä uhkia
Rilide stealer on esimerkki haitallisten selainlaajennusten kehittymisestä. Rilide naamioituu lailliseksi Google Drive -laajennukseksi, mutta se on itse asiassa työkalu, jota uhkien toimijat käyttävät monenlaisten haitallisten toimintojen suorittamiseen. Näihin toimintoihin kuuluu kuvakaappausten ottaminen, uhrien selaushistorian vakoilu ja haitallisten skriptien syöttäminen varastaakseen varoja kryptovaluuttapörsseistä.
Ole valppaana ja ole varovainen käsitellessäsi ei-toivottuja sähköposteja tai viestejä. Tietojenkalasteluhyökkäysten uhriksi joutumisen riskin pienentämiseksi on myös ensiarvoisen tärkeää saada tietoa ja koulutusta viimeisimmistä kyberturvallisuusuhkista ja parhaista käytännöistä niiden estämiseksi. Pysymällä ajan tasalla viimeisimmistä kyberturvallisuuden kehityksestä henkilöt voivat ryhtyä ennakoiviin toimiin henkilötietojensa suojaamiseksi ja mahdollisilta hyökkäyksiltä.
