Rilide Stealer
Wykryto nieznane wcześniej złośliwe oprogramowanie o nazwie Rilide Stealer, atakujące przeglądarki internetowe oparte na silniku Chromium. Złośliwe oprogramowanie ma na celu oszukać użytkowników, podszywając się pod legalne rozszerzenie Dysku Google. Jednak po zainstalowaniu może wykonywać różne złośliwe działania, w tym monitorowanie historii przeglądania użytkownika, robienie zrzutów ekranu i wstrzykiwanie szkodliwych skryptów.
Rilide Stealer jest również w stanie wykraść poufne dane i wysysać kryptowalutę z różnych giełd kryptograficznych. Rilide jest wyposażony w możliwość wyświetlania fałszywych monitów, które nakłaniają użytkowników do wprowadzenia dwuskładnikowego kodu uwierzytelniającego. W rezultacie złośliwe oprogramowanie może pobierać zasoby cyfrowe z konta ofiary. To sprawia, że Rilide stanowi poważne zagrożenie dla każdego, kto korzysta z przeglądarki internetowej opartej na Chromium. Szczegóły dotyczące Rilide Stealer i jego kampanii ataków zostały podane do wiadomości publicznej w raporcie naukowców z Trustwave SpiderLabs Research.
Spis treści
Dwie różne kampanie ataków wdrażają Złodzieja Zabawy
Zgodnie z ogłoszonymi ustaleniami wykryto dwa oddzielne ataki – jeden z wykorzystaniem Ekipa RAT , a drugi z wykorzystaniem Aurora Stealer do zainstalowania złośliwego oprogramowania Rilide udającego rozszerzenie przeglądarki. Ekipa RAT rozprzestrzenia się poprzez sfałszowane pliki Microsoft Publisher, podczas gdy Aurora Stealer wykorzystuje nieuczciwe Google Ads do dystrybucji, co jest taktyką, która zyskała na popularności wśród cyberprzestępców. Oba łańcuchy ataków umożliwiają wykonanie programu ładującego opartego na Rust. Po aktywacji modyfikuje następnie plik skrótu LNK przeglądarki i za pomocą wiersza poleceń "--load-extension" uruchamia dodatek przeglądarki.
Rilide Stealer jest w stanie wykonać automatyczną wypłatę kryptowaluty
Rilide Stealer jest wyposażony w funkcję automatycznej wypłaty z giełd kryptowalut. Podczas gdy ta funkcja działa w tle, użytkownik widzi sfałszowane okno dialogowe uwierzytelniania urządzenia, które naśladuje powszechnie używaną legalną funkcję bezpieczeństwa w celu uzyskania kodu 2FA (uwierzytelniania dwuskładnikowego). Ten kod jest środkiem bezpieczeństwa służącym do potwierdzenia tożsamości użytkownika i zatwierdzenia żądania wypłaty.
Ponadto Rilide ma możliwość zastąpienia e-mailowych potwierdzeń wysyłanych przez giełdę, które powiadamiają użytkownika o żądaniu wypłaty. Jeśli użytkownik wejdzie na swoje konto e-mail za pomocą tej samej przeglądarki internetowej, potwierdzenia te są zastępowane w locie. E-mail z potwierdzeniem żądania wypłaty jest zamiast tego zastępowany żądaniem autoryzacji urządzenia, nakłaniając użytkownika do podania kodu autoryzacyjnego. W rezultacie atakujący jest w stanie zignorować środki bezpieczeństwa zastosowane przez giełdę i ukraść środki z konta użytkownika.
Cyberprzestępcy nadal opracowują wyrafinowane zagrożenia
Złodziej Rilide jest przykładem rosnącego wyrafinowania złośliwych rozszerzeń przeglądarki. Rilide udaje legalne rozszerzenie Dysku Google, ale w rzeczywistości jest narzędziem wykorzystywanym przez cyberprzestępców do wykonywania szerokiej gamy złośliwych działań. Działania te obejmują robienie zrzutów ekranu, szpiegowanie historii przeglądania ofiar oraz wstrzykiwanie złośliwych skryptów w celu kradzieży środków z giełd kryptowalut.
Zachowaj czujność i ostrożność w kontaktach z niechcianymi e-mailami lub wiadomościami. Aby zmniejszyć ryzyko stania się ofiarą ataków typu phishing, niezwykle ważne jest również bycie informowanym i edukowanym w zakresie najnowszych zagrożeń bezpieczeństwa cybernetycznego oraz najlepszych praktyk ich powstrzymania. Będąc na bieżąco z najnowszymi osiągnięciami w dziedzinie cyberbezpieczeństwa, osoby fizyczne mogą podejmować proaktywne działania w celu ochrony swoich danych osobowych i ochrony przed potencjalnymi atakami
