Rilide Stealer
Odkrita je bila prej neznana grožnja zlonamerne programske opreme, imenovana Rilide Stealer, ki cilja na spletne brskalnike, ki temeljijo na mehanizmu Chromium. Zlonamerna programska oprema je zasnovana tako, da zavaja uporabnike tako, da se prikrije kot zakonita razširitev Google Drive. Ko pa je nameščen, lahko izvaja različne zlonamerne dejavnosti, vključno s spremljanjem uporabnikove zgodovine brskanja, snemanjem posnetkov zaslona in vbrizgavanjem škodljivih skriptov.
Rilide Stealer je sposoben tudi ukrasti občutljive podatke in črpati kriptovalute iz različnih kripto borz. Rilide je opremljen z možnostjo prikaza lažnih pozivov, ki uporabnike zavedejo, da vnesejo dvofaktorsko kodo za preverjanje pristnosti. Posledično lahko zlonamerna programska oprema umakne digitalna sredstva z računa žrtve. Zaradi tega Rilide predstavlja veliko grožnjo vsem, ki uporabljajo spletni brskalnik, ki temelji na Chromiumu. Podrobnosti o Rilide Stealerju in njegovih napadalnih kampanjah so javnosti objavili v poročilu raziskovalcev Trustwave SpiderLabs Research.
Kazalo
Dve različni napadalni kampanji uporabljata Rilide Stealer
Po objavljenih ugotovitvah sta bila odkrita dva ločena napada – eden je uporabil ekipo RAT, drugi pa je uporabil Aurora Stealer za namestitev zlonamerne programske opreme Rilide, ki se predstavlja kot razširitev brskalnika. Ekipa RAT se širi prek datotek Microsoft Publisher, ki so bile spremenjene, medtem ko Aurora Stealer za distribucijo uporablja lažni Google Ads, taktika, ki je med kiberkriminalci postala vse bolj priljubljena. Obe verigi napadov omogočata izvajanje nalagalnika, ki temelji na Rustu. Ko je aktiviran, nato spremeni datoteko bližnjic LNK brskalnika in z uporabo ukazne vrstice »--load-extension« zažene dodatek brskalnika.
Rilide Stealer je sposoben izvesti samodejni dvig kriptovalute
Rilide Stealer je opremljen s funkcijo samodejnega dviga iz menjalnic kriptovalut. Medtem ko ta funkcija deluje v ozadju, uporabnik vidi ponarejeno pogovorno okno za preverjanje pristnosti naprave, ki posnema običajno uporabljeno legitimno varnostno funkcijo, da bi pridobil kodo 2FA (dvofaktorska avtentikacija). Ta koda je varnostni ukrep, ki se uporablja za potrditev identitete uporabnika in odobritev zahteve za dvig.
Poleg tega ima Rilide možnost nadomestiti e-poštne potrditve, ki jih pošlje borza, ki uporabnika obvestijo o zahtevi za dvig. Če uporabnik vnese svoj e-poštni račun z istim spletnim brskalnikom, se te potrditve sproti zamenjajo. E-poštno potrdilo za zahtevo za dvig je namesto tega nadomeščeno z zahtevo za avtorizacijo naprave, kar uporabnika zavede, da zagotovi avtorizacijsko kodo. Posledično lahko napadalec prezre varnostne ukrepe, ki jih je vzpostavila borza, in ukrade sredstva z uporabnikovega računa.
Kibernetski kriminalci še naprej razvijajo sofisticirane grožnje
Rilide stealer je primer vse večje izpopolnjenosti zlonamernih razširitev brskalnika. Rilide se prikriva kot legitimna razširitev Google Drive, vendar je dejansko orodje, ki ga akterji groženj uporabljajo za izvajanje širokega nabora zlonamernih dejavnosti. Te dejavnosti vključujejo snemanje posnetkov zaslona, vohunjenje za zgodovino brskanja žrtev in vbrizgavanje zlonamernih skriptov za krajo sredstev iz borz kriptovalut.
Bodite previdni in previdni, ko imate opravka z nezaželeno e-pošto ali sporočili. Da bi zmanjšali tveganje, da bi postali žrtev lažnega predstavljanja, je prav tako pomembno, da ste obveščeni in poučeni o najnovejših grožnjah kibernetski varnosti in najboljših praksah za njihovo zaustavitev. Z obveščanjem o najnovejšem razvoju kibernetske varnosti lahko posamezniki sprejmejo proaktivne ukrepe za zaščito svojih osebnih podatkov in zaščito pred morebitnimi napadi.
