Rilide Stealer
Ett tidigare okänt hot mot skadlig programvara vid namn Rilide Stealer har upptäckts riktat mot webbläsare baserade på Chromium-motorn. Skadlig programvara är utformad för att lura användare genom att maskera sig som en legitim Google Drive-tillägg. Men när den väl har installerats kan den utföra en mängd skadliga aktiviteter, inklusive att övervaka en användares webbhistorik, ta skärmdumpar och injicera skadliga skript.
Rilide Stealer kan också stjäla känslig data och hämta kryptovaluta från olika kryptobörser. Rilide är utrustad med möjligheten att visa falska uppmaningar som lurar användare att ange en tvåfaktorsautentiseringskod. Som ett resultat kan den skadliga programvaran ta ut digitala tillgångar från offrets konto. Detta gör Rilide till ett betydande hot mot alla som använder en Chromium-baserad webbläsare. Detaljer om Rilide Stealer och dess attackkampanjer släpptes för allmänheten i en rapport från forskarna vid Trustwave SpiderLabs Research.
Innehållsförteckning
Två olika attackkampanjer Installera Rilide Stealer
Enligt de tillkännagivna resultaten upptäcktes två separata attacker - den ena använde Ekipa RAT medan den andra använde Aurora Stealer för att installera skadlig programvara Rilide som poserade som en webbläsartillägg. Ekipa RAT sprids genom Microsoft Publisher-filer som har manipulerats, medan Aurora Stealer använder oseriösa Google Ads för att distribuera sig själv, en taktik som har ökat i popularitet bland cyberkriminella. Båda attackkedjorna gör det möjligt att köra en Rust-baserad loader. Efter att ha aktiverats, modifierar den sedan webbläsarens LNK-genvägsfil och, genom att använda kommandoraden "--load-extension", startar webbläsartillägget.
Rilide Stealer kan utföra ett automatiskt uttag av kryptovaluta
Rilide Stealer är utrustad med en automatisk uttagsfunktion från kryptovalutabörser. Medan den här funktionen fungerar i bakgrunden ser användaren en förfalskad enhetsautentiseringsdialogruta, som efterliknar en vanlig legitim säkerhetsfunktion, för att erhålla 2FA-koden (tvåfaktorsautentisering). Denna kod är en säkerhetsåtgärd som används för att bekräfta användarens identitet och godkänna begäran om uttag.
Dessutom har Rilide möjlighet att ersätta e-postbekräftelser som skickas av börsen, som meddelar användaren om uttagsbegäran. Om användaren anger sitt e-postkonto med samma webbläsare, ersätts dessa bekräftelser direkt. E-postbekräftelsen för begäran om uttag ersätts istället med en begäran om enhetsauktorisering, vilket lurar användaren att ange auktoriseringskoden. Som en konsekvens kan angriparen ignorera säkerhetsåtgärderna som införts av börsen och stjäla pengar från användarens konto.
Cyberkriminella fortsätter att utveckla sofistikerade hot
Rilide-stealern är ett exempel på den ökande sofistikeringen av skadliga webbläsartillägg. Rilide klär ut sig som en legitim Google Drive-tillägg men är faktiskt ett verktyg som används av hotaktörer för att utföra ett brett utbud av skadliga aktiviteter. Dessa aktiviteter inkluderar att ta skärmdumpar, spionera på offrens webbhistorik och injicera skadliga skript för att stjäla pengar från kryptovalutabörser.
Var vaksam och var försiktig när du hanterar oönskade e-postmeddelanden eller meddelanden. För att hålla nere risken att falla offer för nätfiskeattacker är det också av största vikt att vara informerad och utbildad om de senaste cybersäkerhetshoten och bästa praxis för att stoppa dem. Genom att hålla sig uppdaterad om den senaste utvecklingen inom cybersäkerhet kan individer vidta proaktiva åtgärder för att skydda sin personliga information och skydda mot potentiella attacker
