Rilide Stealer
Egy korábban ismeretlen, Rilide Stealer nevű rosszindulatú fenyegetést fedeztek fel, amely a Chromium-motoron alapuló webböngészőket célozza meg. A rosszindulatú program célja a felhasználók megtévesztése azáltal, hogy legitim Google Drive-bővítménynek álcázza magát. Telepítés után azonban számos rosszindulatú tevékenységet hajthat végre, beleértve a felhasználó böngészési előzményeinek megfigyelését, képernyőképek készítését és káros szkriptek beszúrását.
A Rilide Stealer emellett képes érzékeny adatok ellopására és kriptovaluták kiszipolyozására különböző kriptotőzsdékről. A Rilide képes hamis promptok megjelenítésére, amelyek ráveszik a felhasználókat egy kétfaktoros hitelesítési kód megadására. Ennek eredményeként a rosszindulatú program képessé válik digitális eszközök eltávolítására az áldozat számlájáról. Emiatt a Rilide jelentős veszélyt jelent mindenki számára, aki Chromium-alapú webböngészőt használ. A Rilide Stealerrel és támadási kampányaival kapcsolatos részleteket a Trustwave SpiderLabs Research kutatóinak jelentésében hozták nyilvánosságra.
Tartalomjegyzék
Két különböző támadási kampány telepíti a Rilide Stealert
A bejelentett megállapítások szerint két különálló támadást fedeztek fel – az egyik az Ekipa RAT-ot , míg a másik az Aurora Stealer segítségével telepítette a Rilide kártevőt, amely böngészőbővítménynek tűnt. Az Ekipa RAT-ot Microsoft Publisher-fájlokon keresztül terjesztik, amelyeket manipuláltak, míg az Aurora Stealer szélhámos Google Ads-t alkalmaz önmaga terjesztésére, ez a taktika pedig egyre népszerűbb a kiberbűnözők körében. Mindkét támadási lánc lehetővé teszi egy Rozsda alapú betöltő végrehajtását. Az aktiválás után módosítja a böngésző LNK parancsikonfájlját, és a "--load-extension" parancssor használatával elindítja a böngészőbővítményt.
A Rilide Stealer képes automatikus kriptovaluta-kivonást végrehajtani
A Rilide Stealer automatikus kivonási funkcióval rendelkezik a kriptovaluta tőzsdékről. Amíg ez a funkció a háttérben működik, a felhasználó egy hamisított eszközhitelesítési párbeszédpanelt lát, amely egy gyakran használt legitim biztonsági funkciót utánoz a 2FA (kéttényezős hitelesítés) kód megszerzése érdekében. Ez a kód a felhasználó személyazonosságának megerősítésére és a visszavonási kérelem jóváhagyására szolgáló biztonsági intézkedés.
Ezenkívül a Rilide képes helyettesíteni a tőzsde által küldött e-mailes visszaigazolásokat, amelyek értesítik a felhasználót a visszavonási kérelemről. Ha a felhasználó ugyanazzal a webböngészővel lép be e-mail fiókjába, ezek a visszaigazolások menet közben kicserélődnek. Ehelyett a visszavonási kérelem e-mailes visszaigazolását egy eszköz-engedélyezési kérelem váltja fel, ezzel ráveszik a felhasználót az engedélyezési kód megadására. Ennek következtében a támadó figyelmen kívül hagyhatja a tőzsde által bevezetett biztonsági intézkedéseket, és pénzt lophat el a felhasználó számlájáról.
A kiberbűnözők továbbra is kifinomult fenyegetéseket dolgoznak ki
A Rilide stealer a rosszindulatú böngészőbővítmények egyre kifinomultabb példája. A Rilide legitim Google Drive-bővítménynek álcázza magát, de valójában egy olyan eszköz, amelyet a fenyegetés szereplői használnak rosszindulatú tevékenységek széles körének végrehajtására. E tevékenységek közé tartozik a képernyőképek készítése, az áldozatok böngészési előzményei utáni kémkedés, valamint a rosszindulatú szkriptek befecskendezése a kriptovaluta tőzsdékről való pénzek ellopása érdekében.
Legyen éber és legyen óvatos, amikor kéretlen e-mailekkel vagy üzenetekkel foglalkozik. Az adathalász támadások áldozatává válás kockázatának csökkentése érdekében kiemelten fontos, hogy tájékozódjunk és tájékozódjunk a legújabb kiberbiztonsági fenyegetésekről, valamint a megállításukra vonatkozó legjobb gyakorlatokról. A kiberbiztonsággal kapcsolatos legújabb fejlemények naprakészen tartásával az egyének proaktív intézkedéseket tehetnek személyes adataik védelmére és a potenciális támadások elleni védelemre.
