Rilide Stealer
En tidligere ukjent trussel mot skadelig programvare kalt Rilide Stealer har blitt avdekket rettet mot nettlesere basert på Chromium-motoren. Skadevaren er laget for å lure brukere ved å forkle seg som en legitim Google Disk-utvidelse. Når den er installert, kan den imidlertid utføre en rekke ondsinnede aktiviteter, inkludert å overvåke en brukers nettleserhistorikk, ta skjermbilder og injisere skadelige skript.
Rilide Stealer er også i stand til å stjele sensitive data og hente kryptovaluta fra forskjellige kryptobørser. Rilide er utstyrt med muligheten til å vise falske meldinger som lurer brukere til å skrive inn en to-faktor autentiseringskode. Som et resultat blir skadelig programvare i stand til å trekke digitale eiendeler fra offerets konto. Dette gjør Rilide til en betydelig trussel for alle som bruker en Chromium-basert nettleser. Detaljer om Rilide Stealer og dens angrepskampanjer ble offentliggjort i en rapport fra forskerne ved Trustwave SpiderLabs Research.
Innholdsfortegnelse
To forskjellige angrepskampanjer Bruk Rilide Stealer
I følge de annonserte funnene ble to separate angrep oppdaget - det ene brukte Ekipa RAT mens det andre brukte Aurora Stealer for å installere Rilide-malware som poserte som en nettleserutvidelse. Ekipa RAT spres gjennom Microsoft Publisher-filer som har blitt tuklet med, mens Aurora Stealer bruker useriøse Google Ads for å distribuere seg selv, en taktikk som har vokst i popularitet blant nettkriminelle. Begge angrepskjedene gjør det mulig å utføre en rustbasert laster. Etter å ha blitt aktivert, modifiserer den nettleserens LNK-snarveisfil, og ved å bruke kommandolinjen "--load-extension" starter nettlesertillegget.
Rilide Stealer er i stand til å utføre et automatisk uttak av kryptovaluta
Rilide Stealer er utstyrt med en automatisk uttaksfunksjon fra kryptovalutabørser. Mens denne funksjonen fungerer i bakgrunnen, ser brukeren en forfalsket enhetsautentiseringsdialogboks, som etterligner en ofte brukt legitim sikkerhetsfunksjon, for å få 2FA-koden (tofaktorautentisering). Denne koden er et sikkerhetstiltak som brukes for å bekrefte brukerens identitet og godkjenne uttaksforespørselen.
Videre har Rilide muligheten til å erstatte e-postbekreftelser sendt av børsen, som varsler brukeren om uttaksforespørselen. Hvis brukeren går inn på e-postkontoen sin med samme nettleser, erstattes disse bekreftelsene umiddelbart. E-postbekreftelsen for uttaksforespørselen erstattes i stedet med en enhetsautorisasjonsforespørsel, som lurer brukeren til å oppgi autorisasjonskoden. Som en konsekvens er angriperen i stand til å ignorere sikkerhetstiltakene som er iverksatt av børsen og stjele midler fra brukerens konto.
Nettkriminelle fortsetter å utvikle sofistikerte trusler
Rilide-tyveren er et eksempel på den økende sofistikeringen av ondsinnede nettleserutvidelser. Rilide forkledd seg som en legitim Google Drive-utvidelse, men er faktisk et verktøy som brukes av trusselaktører for å utføre et bredt spekter av ondsinnede aktiviteter. Disse aktivitetene inkluderer å ta skjermbilder, spionere på ofrenes nettleserhistorikk og injisere ondsinnede skript for å stjele midler fra kryptovalutabørser.
Vær på vakt og utvis forsiktighet når du håndterer uønskede e-poster eller meldinger. For å holde nede risikoen for å bli offer for phishing-angrep, er det også viktig å være informert og utdannet om de siste cybersikkerhetstruslene og beste praksis for å stoppe dem. Ved å holde seg oppdatert på den siste utviklingen innen cybersikkerhet, kan enkeltpersoner ta proaktive tiltak for å beskytte sin personlige informasjon og beskytte mot potensielle angrep
