Rilide Stealer
Було виявлено раніше невідому загрозу зловмисного програмного забезпечення під назвою Rilide Stealer, націлене на веб-браузери на основі механізму Chromium. Зловмисне програмне забезпечення призначене для обману користувачів, видаючи себе за законне розширення Google Drive. Однак після встановлення він може здійснювати різноманітні шкідливі дії, зокрема відстежувати історію веб-перегляду користувача, робити знімки екрана та впроваджувати шкідливі сценарії.
Rilide Stealer також здатний викрадати конфіденційні дані та викачувати криптовалюту з різних криптовалютних бірж. Rilide оснащений можливістю відображати фальшиві підказки, які обманом змушують користувачів ввести код двофакторної автентифікації. У результаті зловмисне програмне забезпечення може вилучати цифрові активи з облікового запису жертви. Це робить Rilide значною загрозою для всіх, хто використовує веб-браузер на основі Chromium. Подробиці про Rilide Stealer та його атаки були оприлюднені у звіті дослідників Trustwave SpiderLabs Research.
Зміст
Дві різні кампанії атак розгортають Rilide Stealer
Згідно з оголошеними висновками, було виявлено дві окремі атаки: одна з використанням Team RAT , а інша з використанням Aurora Stealer для встановлення шкідливого програмного забезпечення Rilide, яке видавалося за розширення браузера. Ekipa RAT поширюється через файли Microsoft Publisher, які були підроблені, тоді як Aurora Stealer використовує шахрайську рекламу Google для розповсюдження – тактика, яка набула популярності серед кіберзлочинців. Обидва ланцюги атак дозволяють запустити завантажувач на основі Rust. Після активації він змінює файл ярлика LNK браузера та за допомогою командного рядка «--load-extension» запускає надбудову браузера.
Rilide Stealer здатний виконувати автоматичне виведення криптовалюти
Rilide Stealer оснащений функцією автоматичного виведення з бірж криптовалют. Поки ця функція працює у фоновому режимі, користувач бачить діалогове вікно підробленої автентифікації пристрою, яке імітує широко використовувану законну функцію безпеки, щоб отримати код 2FA (двофакторна автентифікація). Цей код є засобом безпеки, який використовується для підтвердження особи користувача та схвалення запиту на зняття коштів.
Крім того, Rilide має можливість замінити підтвердження електронною поштою, надіслані біржею, які сповіщають користувача про запит на зняття коштів. Якщо користувач вводить свій обліковий запис електронної пошти за допомогою того самого веб-браузера, ці підтвердження замінюються на льоту. Натомість електронний лист із підтвердженням запиту на зняття коштів замінюється запитом на авторизацію пристрою, що змушує користувача надати код авторизації. Як наслідок, зловмисник може проігнорувати заходи безпеки, встановлені біржею, і викрасти кошти з облікового запису користувача.
Кіберзлочинці продовжують розробляти складні загрози
Викрадач Rilide є прикладом зростаючої складності шкідливих розширень браузера. Rilide маскується як законне розширення Google Drive, але насправді є інструментом, який використовують зловмисники для здійснення широкого спектру шкідливих дій. Ці дії включають створення скріншотів, шпигування за історією веб-перегляду жертв і впровадження шкідливих сценаріїв для викрадення коштів з бірж криптовалют.
Будьте пильні та обережні, маючи справу з небажаними електронними листами чи повідомленнями. Щоб знизити ризик стати жертвою фішингових атак, надзвичайно важливо бути поінформованим і освіченим щодо останніх загроз кібербезпеці та найкращих методів їх запобігання. Будьте в курсі останніх подій у сфері кібербезпеки, люди можуть вживати профілактичних заходів для захисту своєї особистої інформації та захисту від потенційних атак
