Рилайд Похититель
Обнаружена ранее неизвестная угроза вредоносного ПО под названием Rilide Stealer, нацеленная на веб-браузеры на основе движка Chromium. Вредоносная программа предназначена для обмана пользователей, маскируя себя под законное расширение Google Диска. Однако после установки он может выполнять различные вредоносные действия, в том числе отслеживать историю просмотров пользователей, делать снимки экрана и внедрять вредоносные скрипты.
Rilide Stealer также способен красть конфиденциальные данные и перекачивать криптовалюту с различных криптобирж. Rilide оснащен возможностью отображать поддельные подсказки, которые обманом заставляют пользователей вводить код двухфакторной аутентификации. В результате вредоносное ПО получает возможность выводить цифровые активы из аккаунта жертвы. Это делает Rilide серьезной угрозой для любого, кто использует веб-браузер на основе Chromium. Подробности о Rilide Stealer и его атаках были обнародованы в отчете исследователей Trustwave SpiderLabs Research.
Оглавление
Две разные кампании атаки: развертывание Rilide Stealer
Согласно объявленным выводам, были обнаружены две отдельные атаки: одна с использованием Ekipa RAT , а другая с использованием Aurora Stealer для установки вредоносного ПО Rilide, выдающего себя за расширение браузера. Ekipa RAT распространяется через файлы Microsoft Publisher, которые были подделаны, в то время как Aurora Stealer использует мошенническую Google Ads для распространения — тактика, популярность которой среди киберпреступников возросла. Обе цепочки атак позволяют запустить загрузчик на основе Rust. После активации он изменяет файл ярлыка LNK браузера и с помощью командной строки «--load-extension» запускает надстройку браузера.
Rilide Stealer способен выполнять автоматический вывод криптовалюты
Rilide Stealer оснащен функцией автоматического вывода средств с бирж криптовалют. Пока эта функция работает в фоновом режиме, пользователь видит поддельное диалоговое окно аутентификации устройства, которое имитирует обычно используемую законную функцию безопасности, чтобы получить код 2FA (двухфакторная аутентификация). Этот код является мерой безопасности, используемой для подтверждения личности пользователя и подтверждения запроса на вывод средств.
Кроме того, Rilide имеет возможность заменить электронные подтверждения, отправленные биржей, которые уведомляют пользователя о запросе на вывод средств. Если пользователь входит в свою учетную запись электронной почты, используя тот же веб-браузер, эти подтверждения заменяются на лету. Подтверждение по электронной почте для запроса на снятие вместо этого заменяется запросом на авторизацию устройства, обманом заставляя пользователя предоставить код авторизации. Как следствие, злоумышленник может игнорировать меры безопасности, принятые биржей, и украсть средства со счета пользователя.
Киберпреступники продолжают разрабатывать изощренные угрозы
Похититель Rilide — пример возрастающей сложности вредоносных расширений браузера. Rilide маскируется под законное расширение Google Диска, но на самом деле является инструментом, используемым злоумышленниками для выполнения широкого спектра вредоносных действий. Эти действия включают в себя создание снимков экрана, слежку за историей просмотров жертв и внедрение вредоносных скриптов для кражи средств с бирж криптовалют.
Будьте бдительны и проявляйте осторожность при работе с нежелательными электронными письмами или сообщениями. Чтобы снизить риск стать жертвой фишинговых атак, также крайне важно быть информированным и осведомленным о последних угрозах кибербезопасности и передовых методах их предотвращения. Получая информацию о последних событиях в области кибербезопасности, люди могут принимать упреждающие меры для защиты своей личной информации и защиты от потенциальных атак.
