瑞利德窃取者

一种以前未知的名为 Rilide Stealer 的恶意软件威胁被发现针对基于 Chromium 引擎的 Web 浏览器。该恶意软件旨在通过将自己伪装成合法的 Google Drive 扩展来欺骗用户。但是，一旦安装，它就可以执行各种恶意活动，包括监视用户的浏览历史记录、截取屏幕截图和注入有害脚本。

Rilide Stealer 还能够窃取敏感数据并从各种加密货币交易所窃取加密货币。 Rilide 具备显示虚假提示的能力，可以诱骗用户输入双因素身份验证码。因此，恶意软件能够从受害者的账户中提取数字资产。这使得 Rilide 对任何使用基于 Chromium 的网络浏览器的人来说都是一个重大威胁。 Trustwave SpiderLabs Research 的研究人员在一份报告中向公众发布了有关 Rilide Stealer 及其攻击活动的详细信息。

两种不同的攻击活动部署 Rilide 窃取器

根据公布的调查结果，发现了两次不同的攻击——一次使用Ekipa RAT ，而另一次使用Aurora Stealer安装 Rilide 恶意软件，伪装成浏览器扩展。 Ekipa RAT 通过被篡改的 Microsoft Publisher 文件传播，而 Aurora Stealer 使用流氓 Google Ads 进行自我传播，这种策略在网络犯罪分子中越来越流行。两条攻击链都可以执行基于 Rust 的加载程序。激活后，它会修改浏览器的 LNK 快捷方式文件，并通过使用“--load-extension”命令行启动浏览器插件。

Rilide Stealer 能够执行自动加密货币提取

Rilide Stealer 配备了从加密货币交易所自动取款的功能。当此功能在后台运行时，用户会看到一个伪造的设备身份验证对话框，该对话框模仿常用的合法安全功能，以获得 2FA（双因素身份验证）代码。此代码是用于确认用户身份和批准提款请求的安全措施。

此外，Rilide 能够替换交易所发送的电子邮件确认，通知用户提款请求。如果用户使用相同的网络浏览器输入他们的电子邮件帐户，这些确认将被即时替换。取款请求的电子邮件确认被替换为设备授权请求，诱骗用户提供授权码。因此，攻击者能够忽略交易所采取的安全措施并从用户账户中窃取资金。

网络犯罪分子继续开发复杂的威胁

Rilide 窃取程序是恶意浏览器扩展日益复杂的一个例子。 Rilide 将自己伪装成合法的 Google Drive 扩展程序，但实际上是威胁行为者用来执行各种恶意活动的工具。这些活动包括截图、监视受害者的浏览历史以及注入恶意脚本以从加密货币交易所窃取资金。

在处理未经请求的电子邮件或消息时要保持警惕并谨慎行事。为了降低成为网络钓鱼攻击受害者的风险，了解最新的网络安全威胁和阻止这些威胁的最佳做法并对其进行培训也很重要。通过及时了解网络安全的最新发展，个人可以采取主动措施来保护他们的个人信息并抵御潜在的攻击