Search the Community

Rilide маскируется под законное расширение Google Диска и позволяет киберпреступникам выполнять различные действия, включая получение данных истории просмотров, создание снимков экрана и вывод средств с различных криптовалютных бирж. Исследователи кибербезопасности из Trustwave SpiderLabs обнаружили новую разновидность вредоносного ПО под названием Rilide, которое нацелено на браузеры на основе Chromium, такие как Google Chrome, Microsoft Edge, Brave и Opera, и крадет криптовалюты пользователей. Вирус Rilide поражает держателей криптовалюты Rilide отличается от других штаммов вредоносных программ, с которыми сталкивалась SpiderLabs, тем, что использует поддельные диалоги, чтобы обмануть пользователей и заставить их раскрыть свои коды двухфакторной аутентификации (2FA). Это позволяет вредоносному ПО выводить криптовалюты в фоновом режиме без ведома пользователя. Во время расследования происхождения Rilide исследователи обнаружили, что аналогичные расширения для браузера рекламируются для продажи, и обнаружили, что часть их кода была недавно опубликована на подпольном форуме из-за спора об оплате. Исследователи обнаружили две вредоносные кампании, которые приводили к установке расширения Rilide. Одна из таких кампаний включала модуль, который содержал закодированный блок данных, хранящий URL-адрес загрузчика Rilide. Полезная нагрузка, размещенная на CDN Discord, была сохранена в каталоге %temp% и выполнена с помощью командлета PowerShell start-process. Rilide использует загрузчик Rust для установки расширения, если обнаружен браузер на основе Chromium. Загрузчик изменяет файлы ярлыков, открывающие целевые веб-браузеры, чтобы они выполнялись с параметром –load-extension, указывающим на сброшенное вредоносное расширение Rilide. Фоновый скрипт вредоносного ПО прикрепляет прослушиватель к определенным событиям и удаляет директиву Content Security Policy (CSP) для всех запросов, позволяя расширению выполнять атаку и загружать внешние ресурсы, которые без такого подхода были бы заблокированы CSP. Скрипты Rilide поддерживают функцию вывода средств с криптобирж. В то время как снятие средств обрабатывается в фоновом режиме, пользователю предоставляется диалоговое окно аутентификации поддельного устройства для получения кода 2FA. Подтверждения электронной почты заменяются на лету, если пользователь входит в свой почтовый ящик с помощью того же веб-браузера, обманом заставляя пользователя ввести код авторизации. В ходе своего исследования SpiderLabs обнаружила в продаже несколько расширений для стиллеров с возможностями, аналогичными Rilide, но не смогла окончательно связать ни одно из них с вредоносным ПО. Они также обнаружили объявление о продаже ботнета на подпольном форуме от марта 2022 года, которое включало такие функции, как обратный прокси-сервер и рекламный кликер. Функция автоматического вывода средств ботнета атаковала те же биржи, что и в образцах Rilide. Rilide служит ярким примером растущей сложности вредоносных расширений браузера и опасностей, которые они представляют. Хотя предстоящее применение манифеста v3 может создать дополнительные проблемы для действий злоумышленников, маловероятно, что оно полностью решит проблему, поскольку большинство функций, используемых Rilide, по-прежнему будут доступны. Чтобы защититься от таких угроз, важно сохранять бдительность при получении нежелательных электронных писем или сообщений и быть в курсе последних угроз кибербезопасности и методов обеспечения безопасности, чтобы свести к минимуму риск и не стать жертвой фишинговых атак.