Rilide Stealer
Uma ameaça de malware anteriormente desconhecida chamada Rilide Stealer foi descoberta visando navegadores da Web baseados no mecanismo Chromium. O malware é projetado para enganar os usuários, disfarçando-se como uma extensão legítima do Google Drive. No entanto, uma vez instalado, pode realizar uma variedade de atividades maliciosas, incluindo monitorar o histórico de navegação do usuário, tirar capturas de tela e injetar scripts nocivos.
O Rilide Stealer também é capaz de roubar dados confidenciais e desviar criptomoedas de várias trocas de criptomoedas. O Rilide está equipado com a capacidade de exibir prompts falsos que induzem os usuários a inserir um código de autenticação de dois fatores. Como resultado, o malware consegue retirar ativos digitais da conta da vítima. Isso torna o Rilide uma ameaça significativa para qualquer um que use um navegador baseado em Chromium. Detalhes sobre o Rilide Stealer e suas campanhas de ataque foram divulgados ao público em um relatório dos pesquisadores da Trustwave SpiderLabs Research.
Índice
Duas Campanhas de Ataque Diferentes Implantam o Rilide Stealer
De acordo com as descobertas anunciadas, dois ataques separados foram descobertos - um usando o Ekipa RAT enquanto o outro usou o Aurora Stealer para instalar o malware Rilide se passando por uma extensão do navegador. O Ekipa RAT se espalha por meio de arquivos do Microsoft Publisher que foram adulterados, enquanto o Aurora Stealer emprega anúncios desonestos do Google para se distribuir, uma tática que cresceu em popularidade entre os cibercriminosos. Ambas as cadeias de ataque permitem que um carregador baseado em Rust seja executado. Depois de ativado, ele modifica o arquivo de atalho LNK do navegador e, usando a linha de comando "--load-extension", inicia o complemento do navegador.
O Rilide Stealer é Capaz de Realizar uma Retirada Automática de Cripto-Moeda
O Rilide Stealer está equipado com uma função de retirada automática das trocas de criptomoedas. Enquanto esta função opera em segundo plano, o usuário vê uma caixa de diálogo de autenticação de dispositivo forjada, que imita um recurso de segurança legítimo comumente usado, para obter o código 2FA (autenticação de dois fatores). Este código é uma medida de segurança usada para confirmar a identidade do usuário e aprovar a solicitação de retirada.
Além disso, o Rilide tem a capacidade de substituir as confirmações de e-mail enviadas pela bolsa, que notificam o usuário sobre a solicitação de retirada. Se o usuário entrar em sua conta de e-mail usando o mesmo navegador da Web, essas confirmações serão substituídas na hora. Em vez disso, a confirmação por e-mail da solicitação de retirada é substituída por uma solicitação de autorização do dispositivo, enganando o usuário para que forneça o código de autorização. Como consequência, o invasor pode ignorar as medidas de segurança implementadas pela bolsa e roubar fundos da conta do usuário.
Os Cibercriminosos Continuam a Desenvolver Ameaças Sofisticadas
O ladrão Rilide é um exemplo da crescente sofisticação das extensões de navegador maliciosas. O Rilide se disfarça como uma extensão legítima do Google Drive, mas na verdade é uma ferramenta usada por agentes de ameaças para realizar uma ampla gama de atividades maliciosas. Essas atividades incluem tirar screenshots, espionar o histórico de navegação das vítimas e injetar scripts maliciosos para roubar fundos de exchanges de criptomoedas.
Esteja atento e tenha cuidado ao lidar com e-mails ou mensagens não solicitadas. Para reduzir o risco de ser vítima de ataques de phishing, também é fundamental estar informado e instruído sobre as ameaças de segurança cibernética mais recentes e as práticas recomendadas para detê-las. Ao manter-se atualizado sobre os últimos desenvolvimentos em segurança cibernética, os indivíduos podem tomar medidas proativas para proteger suas informações pessoais e se proteger contra possíveis ataques.
