Rilide Ladro
È stata scoperta una minaccia malware precedentemente sconosciuta denominata Rilide Stealer che prende di mira i browser Web basati sul motore Chromium. Il malware è progettato per ingannare gli utenti camuffandosi come un'estensione legittima di Google Drive. Tuttavia, una volta installato, può svolgere una serie di attività dannose, tra cui il monitoraggio della cronologia di navigazione di un utente, l'acquisizione di schermate e l'iniezione di script dannosi.
Il Rilide Stealer è anche in grado di rubare dati sensibili e sottrarre criptovaluta da vari scambi di criptovalute. Rilide è dotato della capacità di visualizzare messaggi falsi che inducono gli utenti a inserire un codice di autenticazione a due fattori. Di conseguenza, il malware diventa in grado di prelevare risorse digitali dall'account della vittima. Ciò rende Rilide una minaccia significativa per chiunque utilizzi un browser Web basato su Chromium. I dettagli su Rilide Stealer e le sue campagne di attacco sono stati rilasciati al pubblico in un rapporto dei ricercatori di Trustwave SpiderLabs Research.
Sommario
Due diverse campagne di attacco Schiera il ladro Rilide
Secondo i risultati annunciati, sono stati scoperti due attacchi separati: uno che utilizza Ekipa RAT mentre l'altro utilizza Aurora Stealer per installare il malware Rilide che si presenta come un'estensione del browser. Ekipa RAT viene diffuso tramite file di Microsoft Publisher che sono stati manomessi, mentre Aurora Stealer impiega Google Ads canaglia per distribuirsi, una tattica che è diventata sempre più popolare tra i criminali informatici. Entrambe le catene di attacco consentono l'esecuzione di un caricatore basato su Rust. Dopo essere stato attivato, modifica il file di collegamento LNK del browser e, utilizzando la riga di comando "--load-extension", avvia il componente aggiuntivo del browser.
Il Rilide Stealer è in grado di eseguire un prelievo automatico di criptovalute
Rilide Stealer è dotato di una funzione di prelievo automatico dagli exchange di criptovalute. Mentre questa funzione opera in background, l'utente visualizza una finestra di dialogo di autenticazione del dispositivo contraffatto, che imita una funzionalità di sicurezza legittima comunemente utilizzata, al fine di ottenere il codice 2FA (autenticazione a due fattori). Questo codice è una misura di sicurezza utilizzata per confermare l'identità dell'utente e approvare la richiesta di prelievo.
Inoltre, Rilide ha la possibilità di sostituire le email di conferma inviate dall'exchange, che notificano all'utente la richiesta di prelievo. Se l'utente accede al proprio account e-mail utilizzando lo stesso browser Web, queste conferme vengono sostituite al volo. L'e-mail di conferma della richiesta di prelievo viene invece sostituita con una richiesta di autorizzazione del dispositivo, inducendo l'utente a fornire il codice di autorizzazione. Di conseguenza, l'attaccante è in grado di ignorare le misure di sicurezza messe in atto dall'exchange e sottrarre fondi dall'account dell'utente.
I criminali informatici continuano a sviluppare minacce sofisticate
Lo stealer Rilide è un esempio della crescente sofisticatezza delle estensioni del browser dannose. Rilide si maschera da legittima estensione di Google Drive, ma in realtà è uno strumento utilizzato dagli attori delle minacce per svolgere un'ampia gamma di attività dannose. Queste attività includono l'acquisizione di schermate, lo spionaggio della cronologia di navigazione delle vittime e l'iniezione di script dannosi per rubare fondi dagli scambi di criptovalute.
Sii vigile e presta attenzione quando hai a che fare con e-mail o messaggi non richiesti. Per ridurre il rischio di cadere vittima di attacchi di phishing, è inoltre fondamentale essere informati e istruiti sulle ultime minacce alla sicurezza informatica e sulle migliori pratiche per fermarle. Mantenendosi aggiornati sugli ultimi sviluppi della sicurezza informatica, le persone possono adottare misure proattive per proteggere le proprie informazioni personali e proteggersi da potenziali attacchi
