Kẻ đánh cắp Rilide
Một mối đe dọa phần mềm độc hại chưa biết trước đây có tên Rilide Stealer đã được phát hiện nhắm mục tiêu vào các trình duyệt web dựa trên công cụ Chromium. Phần mềm độc hại này được thiết kế để đánh lừa người dùng bằng cách ngụy trang thành một tiện ích mở rộng hợp pháp của Google Drive. Tuy nhiên, sau khi được cài đặt, nó có thể thực hiện nhiều hoạt động độc hại, bao gồm theo dõi lịch sử duyệt web của người dùng, chụp ảnh màn hình và chèn các tập lệnh có hại.
Rilide Stealer cũng có khả năng đánh cắp dữ liệu nhạy cảm và bòn rút tiền điện tử từ các sàn giao dịch tiền điện tử khác nhau. Rilide được trang bị khả năng hiển thị lời nhắc giả lừa người dùng nhập mã xác thực hai yếu tố. Do đó, phần mềm độc hại có thể rút tài sản kỹ thuật số từ tài khoản của nạn nhân. Điều này khiến Rilide trở thành mối đe dọa đáng kể đối với bất kỳ ai sử dụng trình duyệt web dựa trên Chromium. Thông tin chi tiết về Rilide Stealer và các chiến dịch tấn công của nó đã được công bố rộng rãi trong một báo cáo của các nhà nghiên cứu tại Trustwave SpiderLabs Research.
Mục lục
Hai chiến dịch tấn công khác nhau Triển khai Rilide Stealer
Theo những phát hiện được công bố, hai cuộc tấn công riêng biệt đã được phát hiện - một cuộc tấn công sử dụng Ekipa RAT trong khi cuộc tấn công còn lại sử dụng Aurora Stealer để cài đặt phần mềm độc hại Rilide dưới dạng tiện ích mở rộng của trình duyệt. Ekipa RAT lây lan qua các tệp Nhà xuất bản của Microsoft đã bị giả mạo, trong khi Aurora Stealer sử dụng Google Ads lừa đảo để tự phân phối, một chiến thuật đã trở nên phổ biến trong giới tội phạm mạng. Cả hai chuỗi tấn công đều cho phép thực thi trình tải dựa trên Rust. Sau khi được kích hoạt, nó sẽ sửa đổi tệp lối tắt LNK của trình duyệt và bằng cách sử dụng dòng lệnh "--load-extension", khởi chạy tiện ích bổ sung của trình duyệt.
Rilide Stealer có khả năng thực hiện rút tiền điện tử tự động
Rilide Stealer được trang bị chức năng rút tiền tự động từ các sàn giao dịch tiền điện tử. Trong khi chức năng này hoạt động ở chế độ nền, người dùng sẽ thấy hộp thoại xác thực thiết bị giả mạo, bắt chước một tính năng bảo mật hợp pháp thường được sử dụng để lấy mã 2FA (xác thực hai yếu tố). Mã này là một biện pháp bảo mật được sử dụng để xác nhận danh tính của người dùng và phê duyệt yêu cầu rút tiền.
Hơn nữa, Rilide có khả năng thay thế xác nhận email được gửi bởi sàn giao dịch, thông báo cho người dùng về yêu cầu rút tiền. Nếu người dùng nhập tài khoản email của họ bằng cùng một trình duyệt web, những xác nhận này sẽ được thay thế ngay lập tức. Thay vào đó, xác nhận email cho yêu cầu rút tiền được thay thế bằng yêu cầu ủy quyền thiết bị, lừa người dùng cung cấp mã ủy quyền. Do đó, kẻ tấn công có thể bỏ qua các biện pháp bảo mật do sàn giao dịch đưa ra và đánh cắp tiền từ tài khoản của người dùng.
Tội phạm mạng tiếp tục phát triển các mối đe dọa tinh vi
Kẻ đánh cắp Rilide là một ví dụ về sự tinh vi ngày càng tăng của các phần mở rộng trình duyệt độc hại. Rilide ngụy trang dưới dạng một tiện ích mở rộng hợp pháp của Google Drive nhưng thực chất là một công cụ được các tác nhân đe dọa sử dụng để thực hiện nhiều hoạt động độc hại. Các hoạt động này bao gồm chụp ảnh màn hình, theo dõi lịch sử duyệt web của nạn nhân và chèn các tập lệnh độc hại để đánh cắp tiền từ các sàn giao dịch tiền điện tử.
Hãy thận trọng và thận trọng khi xử lý các email hoặc tin nhắn không mong muốn. Để giảm nguy cơ trở thành nạn nhân của các cuộc tấn công lừa đảo, điều tối quan trọng là phải được thông báo và giáo dục về các mối đe dọa an ninh mạng mới nhất và các phương pháp hay nhất để ngăn chặn chúng. Bằng cách cập nhật những phát triển mới nhất về an ninh mạng, các cá nhân có thể chủ động thực hiện các biện pháp để bảo vệ thông tin cá nhân của mình và chống lại các cuộc tấn công tiềm ẩn
