Rilide Stealer
Prethodno nepoznata prijetnja od zlonamjernog softvera pod nazivom Rilide Stealer otkrivena je ciljajući na web preglednike temeljene na Chromium motoru. Zlonamjerni je softver osmišljen kako bi prevario korisnike prerušavajući se u legitimno proširenje Google Drivea. Međutim, nakon instaliranja može izvoditi niz zlonamjernih aktivnosti, uključujući praćenje korisnikove povijesti pregledavanja, snimanje zaslona i ubacivanje štetnih skripti.
Rilide Stealer također je sposoban ukrasti osjetljive podatke i crpiti kriptovalute iz raznih kripto burzi. Rilide je opremljen sposobnošću prikazivanja lažnih upita koji varaju korisnike da unesu kod za autentifikaciju s dva faktora. Kao rezultat toga, zlonamjerni softver postaje u mogućnosti povući digitalnu imovinu sa žrtvinog računa. Zbog toga Rilide predstavlja značajnu prijetnju svakome tko koristi web preglednik temeljen na Chromiumu. Pojedinosti o Rilide Stealeru i njegovim kampanjama napada objavljene su javnosti u izvješću istraživača Trustwave SpiderLabs Research.
Sadržaj
Dvije različite napadačke kampanje koriste Rilide Stealer
Prema objavljenim nalazima, otkrivena su dva odvojena napada - jedan je koristio Ekipa RAT , a drugi je koristio Aurora Stealer za instaliranje Rilide zlonamjernog softvera koji se predstavlja kao proširenje preglednika. Ekipa RAT se širi putem Microsoft Publisher datoteka koje su bile mijenjane, dok Aurora Stealer koristi lažni Google Ads za svoju distribuciju, taktika koja je postala sve popularnija među kibernetičkim kriminalcima. Oba lanca napada omogućuju izvršavanje učitavača temeljenog na Rustu. Nakon što se aktivira, modificira datoteku LNK prečaca preglednika i pomoću naredbenog retka "--load-extension" pokreće dodatak pregledniku.
Rilide Stealer sposoban je izvršiti automatsko podizanje kriptovalute
Rilide Stealer opremljen je funkcijom automatskog povlačenja s mjenjačnica kriptovaluta. Dok ova funkcija radi u pozadini, korisnik vidi krivotvoreni dijaloški okvir za provjeru autentičnosti uređaja, koji oponaša uobičajeno korištenu legitimnu sigurnosnu značajku, kako bi dobio 2FA (dvofaktorska provjera autentičnosti) kod. Ovaj kod je sigurnosna mjera koja se koristi za potvrdu identiteta korisnika i odobravanje zahtjeva za isplatu.
Nadalje, Rilide ima mogućnost zamijeniti potvrde putem e-pošte koje šalje burza, a koje obavještavaju korisnika o zahtjevu za isplatu. Ako korisnik unese svoj račun e-pošte koristeći isti web preglednik, te se potvrde zamjenjuju u hodu. Potvrda e-pošte za zahtjev za povlačenje umjesto toga zamjenjuje se zahtjevom za autorizaciju uređaja, varajući korisnika da unese autorizacijski kod. Kao posljedica toga, napadač može zanemariti sigurnosne mjere koje je postavila burza i ukrasti sredstva s korisničkog računa.
Cyberkriminalci nastavljaju razvijati sofisticirane prijetnje
Rilide stealer primjer je sve veće sofisticiranosti zlonamjernih proširenja preglednika. Rilide se maskira kao legitimno proširenje Google Drivea, ali zapravo je alat koji akteri prijetnji koriste za izvođenje širokog spektra zlonamjernih aktivnosti. Te aktivnosti uključuju snimanje zaslona, špijuniranje povijesti pregledavanja žrtava i ubacivanje zlonamjernih skripti za krađu sredstava s mjenjačnica kriptovaluta.
Budite na oprezu i budite oprezni kada radite s neželjenom e-poštom ili porukama. Kako biste smanjili rizik da postanete žrtva phishing napada, također je najvažnije biti informiran i obrazovan o najnovijim prijetnjama kibernetičkoj sigurnosti i najboljim praksama za njihovo zaustavljanje. Prateći najnovija događanja u kibersigurnosti, pojedinci mogu poduzeti proaktivne mjere za zaštitu svojih osobnih podataka i zaštite od potencijalnih napada
