瑞利德竊取者

一種以前未知的名為 Rilide Stealer 的惡意軟件威脅被發現針對基於 Chromium 引擎的 Web 瀏覽器。該惡意軟件旨在通過將自己偽裝成合法的 Google Drive 擴展來欺騙用戶。但是，一旦安裝，它就可以執行各種惡意活動，包括監視用戶的瀏覽歷史記錄、截取屏幕截圖和注入有害腳本。

Rilide Stealer 還能夠竊取敏感數據並從各種加密貨幣交易所竊取加密貨幣。 Rilide 具備顯示虛假提示的能力，可以誘騙用戶輸入雙因素身份驗證碼。因此，惡意軟件能夠從受害者的賬戶中提取數字資產。這使得 Rilide 對任何使用基於 Chromium 的網絡瀏覽器的人來說都是一個重大威脅。 Trustwave SpiderLabs Research 的研究人員在一份報告中向公眾發布了有關 Rilide Stealer 及其攻擊活動的詳細信息。

兩種不同的攻擊活動部署 Rilide 竊取器

根據公佈的調查結果，發現了兩次不同的攻擊——一次使用Ekipa RAT ，而另一次使用Aurora Stealer安裝 Rilide 惡意軟件，偽裝成瀏覽器擴展。 Ekipa RAT 通過被篡改的 Microsoft Publisher 文件傳播，而 Aurora Stealer 使用流氓 Google Ads 進行自我傳播，這種策略在網絡犯罪分子中越來越流行。兩條攻擊鏈都可以執行基於 Rust 的加載程序。激活後，它會修改瀏覽器的 LNK 快捷方式文件，並通過使用“--load-extension”命令行啟動瀏覽器插件。

Rilide Stealer 能夠執行自動加密貨幣提取

Rilide Stealer 配備了從加密貨幣交易所自動取款的功能。當此功能在後台運行時，用戶會看到一個偽造的設備身份驗證對話框，該對話框模仿常用的合法安全功能，以獲得 2FA（雙因素身份驗證）代碼。此代碼是用於確認用戶身份和批准提款請求的安全措施。

此外，Rilide 能夠替換交易所發送的電子郵件確認，通知用戶提款請求。如果用戶使用相同的網絡瀏覽器輸入他們的電子郵件帳戶，這些確認將被即時替換。取款請求的電子郵件確認被替換為設備授權請求，誘騙用戶提供授權碼。因此，攻擊者能夠忽略交易所採取的安全措施並從用戶賬戶中竊取資金。

網絡犯罪分子繼續開發複雜的威脅

Rilide 竊取程序是惡意瀏覽器擴展日益複雜的一個例子。 Rilide 將自己偽裝成合法的 Google Drive 擴展程序，但實際上是威脅行為者用來執行各種惡意活動的工具。這些活動包括截圖、監視受害者的瀏覽歷史以及注入惡意腳本以從加密貨幣交易所竊取資金。

在處理未經請求的電子郵件或消息時要保持警惕並謹慎行事。為了降低成為網絡釣魚攻擊受害者的風險，了解最新的網絡安全威脅和阻止這些威脅的最佳做法並對其進行培訓也很重要。通過及時了解網絡安全的最新發展，個人可以採取主動措施來保護他們的個人信息並抵禦潛在的攻擊