ริลิเด้ สตีลเลอร์
ภัยคุกคามจากมัลแวร์ที่ไม่รู้จักก่อนหน้านี้ชื่อ Rilide Stealer ถูกค้นพบโดยมีเป้าหมายที่เว็บเบราว์เซอร์ที่ใช้เครื่องยนต์ Chromium มัลแวร์นี้ออกแบบมาเพื่อหลอกลวงผู้ใช้โดยปลอมตัวเป็นส่วนขยาย Google ไดรฟ์ที่ถูกต้องตามกฎหมาย อย่างไรก็ตาม เมื่อติดตั้งแล้ว มันสามารถทำกิจกรรมที่เป็นอันตรายได้หลายอย่าง รวมถึงการตรวจสอบประวัติการเข้าชมของผู้ใช้ การจับภาพหน้าจอ และการแทรกสคริปต์ที่เป็นอันตราย
Rilide Stealer ยังสามารถขโมยข้อมูลที่ละเอียดอ่อนและดูดเงินดิจิตอลจากการแลกเปลี่ยนข้อมูลดิจิตอลต่าง ๆ Rilide มาพร้อมกับความสามารถในการแสดงการแจ้งเตือนปลอมที่หลอกให้ผู้ใช้ป้อนรหัสการตรวจสอบสิทธิ์แบบสองปัจจัย เป็นผลให้มัลแวร์สามารถถอนสินทรัพย์ดิจิทัลออกจากบัญชีของเหยื่อได้ สิ่งนี้ทำให้ Rilide เป็นภัยคุกคามที่สำคัญต่อใครก็ตามที่ใช้เว็บเบราว์เซอร์ที่ใช้ Chromium รายละเอียดเกี่ยวกับ Rilide Stealer และแคมเปญการโจมตีได้รับการเผยแพร่สู่สาธารณะในรายงานโดยนักวิจัยจาก Trustwave SpiderLabs Research
สารบัญ
แคมเปญการโจมตีที่แตกต่างกันสองแบบปรับใช้ Rilide Stealer
จากการค้นพบที่ประกาศไว้ พบว่ามีการโจมตีแยกกัน 2 ครั้ง ครั้งแรกใช้ Ekipa RAT ส่วนอีกแบบใช้ Aurora Stealer เพื่อติดตั้งมัลแวร์ Rilide ซึ่งวางตัวเป็นส่วนขยายของเบราว์เซอร์ Ekipa RAT แพร่กระจายผ่านไฟล์ Microsoft Publisher ที่ถูกแก้ไข ขณะที่ Aurora Stealer ใช้ Google Ads อันธพาลในการเผยแพร่ตัวเอง ซึ่งเป็นกลยุทธ์ที่ได้รับความนิยมในหมู่อาชญากรไซเบอร์ ห่วงโซ่การโจมตีทั้งสองช่วยให้สามารถเรียกใช้ตัวโหลดที่ใช้สนิมได้ หลังจากเปิดใช้งานแล้ว โปรแกรมจะปรับเปลี่ยนไฟล์ทางลัด LNK ของเบราว์เซอร์ และเปิดใช้ส่วนเสริมของเบราว์เซอร์โดยใช้บรรทัดคำสั่ง "--load-extension"
Rilide Stealer สามารถทำการถอน Cryptocurrency อัตโนมัติได้
Rilide Stealer มีฟังก์ชันการถอนอัตโนมัติจากการแลกเปลี่ยนสกุลเงินดิจิทัล ขณะที่ฟังก์ชันนี้ทำงานในพื้นหลัง ผู้ใช้จะเห็นกล่องโต้ตอบการตรวจสอบสิทธิ์อุปกรณ์ปลอม ซึ่งเลียนแบบคุณลักษณะความปลอดภัยที่ถูกต้องตามกฎหมายที่ใช้กันทั่วไป เพื่อรับรหัส 2FA (การตรวจสอบสิทธิ์สองปัจจัย) รหัสนี้เป็นมาตรการรักษาความปลอดภัยที่ใช้เพื่อยืนยันตัวตนของผู้ใช้และอนุมัติคำขอถอนเงิน
นอกจากนี้ Rilide ยังมีความสามารถในการแทนที่อีเมลยืนยันที่ส่งโดยการแลกเปลี่ยน ซึ่งจะแจ้งให้ผู้ใช้ทราบเกี่ยวกับคำขอถอนเงิน หากผู้ใช้ป้อนบัญชีอีเมลโดยใช้เว็บเบราว์เซอร์เดียวกัน การยืนยันเหล่านี้จะถูกแทนที่ในทันที การยืนยันอีเมลสำหรับคำขอถอนจะถูกแทนที่ด้วยคำขอการอนุญาตอุปกรณ์แทน โดยหลอกให้ผู้ใช้ระบุรหัสการอนุญาต เป็นผลให้ผู้โจมตีสามารถเพิกเฉยต่อมาตรการรักษาความปลอดภัยที่ดำเนินการโดยการแลกเปลี่ยนและขโมยเงินจากบัญชีของผู้ใช้
อาชญากรไซเบอร์ยังคงพัฒนาภัยคุกคามที่ซับซ้อนต่อไป
ตัวขโมย Rilide เป็นตัวอย่างของความซับซ้อนที่เพิ่มขึ้นของส่วนขยายเบราว์เซอร์ที่เป็นอันตราย Rilide ปลอมตัวเป็นส่วนขยาย Google Drive ที่ถูกต้อง แต่แท้จริงแล้วเป็นเครื่องมือที่ผู้คุกคามใช้เพื่อดำเนินกิจกรรมที่เป็นอันตรายมากมาย กิจกรรมเหล่านี้รวมถึงการจับภาพหน้าจอ การสอดแนมประวัติการท่องเว็บของเหยื่อ และการฉีดสคริปต์ที่เป็นอันตรายเพื่อขโมยเงินจากการแลกเปลี่ยนสกุลเงินดิจิทัล
ระมัดระวังและใช้ความระมัดระวังเมื่อจัดการกับอีเมลหรือข้อความที่ไม่พึงประสงค์ เพื่อลดความเสี่ยงที่จะตกเป็นเหยื่อของการโจมตีแบบฟิชชิ่ง สิ่งสำคัญยิ่งคือการได้รับการแจ้งและให้ความรู้เกี่ยวกับภัยคุกคามความปลอดภัยทางไซเบอร์ล่าสุดและแนวทางปฏิบัติที่ดีที่สุดในการหยุดยั้ง บุคคลสามารถใช้มาตรการเชิงรุกเพื่อปกป้องข้อมูลส่วนบุคคลของตนและป้องกันการโจมตีที่อาจเกิดขึ้นได้ ด้วยการติดตามความคืบหน้าล่าสุดเกี่ยวกับการพัฒนาด้านความปลอดภัยในโลกไซเบอร์
