Rilide Hırsızı
Chromium motorunu temel alan web tarayıcılarını hedefleyen Rilide Stealer adlı önceden bilinmeyen bir kötü amaçlı yazılım tehdidi ortaya çıkarıldı. Kötü amaçlı yazılım, meşru bir Google Drive uzantısı gibi görünerek kullanıcıları aldatmak için tasarlanmıştır. Ancak bir kez yüklendikten sonra, kullanıcının tarama geçmişini izlemek, ekran görüntüleri almak ve zararlı komut dosyaları eklemek gibi çeşitli kötü amaçlı etkinlikler gerçekleştirebilir.
Rilide Stealer ayrıca hassas verileri çalma ve çeşitli kripto para borsalarından kripto paraları çekme yeteneğine de sahiptir. Rilide, kullanıcıları iki faktörlü bir kimlik doğrulama kodu girmeleri için kandıran sahte istemler görüntüleme yeteneği ile donatılmıştır. Sonuç olarak, kötü amaçlı yazılım kurbanın hesabından dijital varlıkları çekebilir hale gelir. Bu, Rilide'ı Chromium tabanlı bir web tarayıcısı kullanan herkes için önemli bir tehdit haline getirir. Rilide Stealer ve saldırı kampanyaları hakkındaki ayrıntılar, Trustwave SpiderLabs Research'teki araştırmacılar tarafından hazırlanan bir raporda kamuoyuna açıklandı.
İçindekiler
İki Farklı Saldırı Kampanyası Rilide Stealer'ı Konuşlandırıyor
Açıklanan bulgulara göre, biri Ekipa RAT kullanan, diğeri Aurora Stealer kullanan ve tarayıcı uzantısı gibi görünen Rilide kötü amaçlı yazılımını yüklemek için kullanılan iki ayrı saldırı tespit edildi. Ekipa RAT, kurcalanmış Microsoft Publisher dosyaları aracılığıyla yayılırken Aurora Stealer, siber suçlular arasında popülaritesi artan bir taktik olan kendi kendini dağıtmak için hileli Google Ads'den yararlanır. Her iki saldırı zinciri de Rust tabanlı bir yükleyicinin yürütülmesini sağlar. Etkinleştirildikten sonra tarayıcının LNK kısayol dosyasını değiştirir ve "--load-extension" komut satırını kullanarak tarayıcı eklentisini başlatır.
Rilide Stealer, Otomatik Kripto Para Çekme İşlemi Gerçekleştirme Yeteneğine Sahiptir
Rilide Stealer, kripto para borsalarından otomatik para çekme işlevi ile donatılmıştır. Bu işlev arka planda çalışırken kullanıcı, 2FA (iki faktörlü kimlik doğrulama) kodunu elde etmek için yaygın olarak kullanılan yasal bir güvenlik özelliğini taklit eden sahte bir cihaz kimlik doğrulama iletişim kutusu görür. Bu kod, kullanıcının kimliğini doğrulamak ve para çekme talebini onaylamak için kullanılan bir güvenlik önlemidir.
Ayrıca Rilide, borsa tarafından gönderilen ve kullanıcıyı para çekme talebi hakkında bilgilendiren e-posta onaylarını değiştirme yeteneğine sahiptir. Kullanıcı aynı web tarayıcısını kullanarak e-posta hesabına girerse, bu onaylar anında değiştirilir. Para çekme talebi için e-posta onayı, bunun yerine kullanıcıyı yetkilendirme kodunu sağlaması için kandıran bir cihaz yetkilendirme talebiyle değiştirilir. Sonuç olarak, saldırgan borsa tarafından uygulanan güvenlik önlemlerini görmezden gelebilir ve kullanıcının hesabından para çalabilir.
Siber Suçlular Sofistike Tehditler Geliştirmeye Devam Ediyor
Rilide hırsızı, kötü amaçlı tarayıcı uzantılarının artan karmaşıklığına bir örnektir. Rilide, kendisini meşru bir Google Drive uzantısı olarak gizler, ancak aslında tehdit aktörleri tarafından çok çeşitli kötü amaçlı faaliyetler gerçekleştirmek için kullanılan bir araçtır. Bu faaliyetler arasında ekran görüntüleri almak, kurbanların göz atma geçmişini gözetlemek ve kripto para borsalarından para çalmak için kötü amaçlı komut dosyaları enjekte etmek yer alıyor.
Tetikte olun ve istenmeyen e-postalar veya mesajlarla uğraşırken dikkatli olun. Kimlik avı saldırılarına kurban gitme riskini azaltmak için, en son siber güvenlik tehditleri ve bunları durdurmak için en iyi uygulamalar hakkında bilgi sahibi olmak ve eğitimli olmak da çok önemlidir. Bireyler, siber güvenlik alanındaki en son gelişmelerden haberdar olarak kişisel bilgilerini korumak ve potansiyel saldırılara karşı korunmak için proaktif önlemler alabilirler.
