Ένα νέο ύπουλο στέλεχος κακόβουλου λογισμικού, με την ονομασία Rilide, στοχεύει ειδικά προγράμματα περιήγησης ιστού που βασίζονται σε Chromium, μεταμφιεσμένο σε νόμιμη επέκταση. Αυτός ο κακόβουλος κώδικας επιδιώκει να αποσπάσει cryptocurrency και να κλέψει τα ευαίσθητα δεδομένα σας.
Δείτε επίσης: Google Play: Θα απαγορεύσει σε apps δανείων να έχουν πρόσβαση σε φωτογραφίες και επαφές χρηστών
“Το Rilide malware μεταμφιέζεται ως νόμιμη επέκταση του Google Drive και επιτρέπει στους απειλητικούς παράγοντες να πραγματοποιούν ένα ευρύ φάσμα κακόβουλων δραστηριοτήτων, συμπεριλαμβανομένης της παρακολούθησης του ιστορικού περιήγησης, της λήψης screenshot και της έγχυσης κακόβουλων script για ανάληψη χρημάτων από διάφορα cryptocurrency exchanges”, ανέφερε η έρευνα Trustwave SpiderLabs σε μια αναφορά που κοινοποιήθηκε στο The Hacker News.
Επιπλέον, το stealer malware μπορεί να δημιουργήσει πειστικούς διαλόγους για να παραπλανήσει τους χρήστες ώστε να εισάγουν έναν κωδικό ελέγχου ταυτότητας δύο παραγόντων και να παραδώσουν εν αγνοία τους τα digital assets τους.
Η Trustwave αποκάλυψε δύο ξεχωριστές κακόβουλες εκστρατείες που διεξήχθησαν από τα Ekipa RAT και Aurora Stealer, το αποτέλεσμα των οποίων ήταν μια κακόβουλη επέκταση του προγράμματος περιήγησης που εγκαταστάθηκε στις συσκευές των θυμάτων.
Δείτε επίσης: CryptoClippy: Νέο Clipper malware στοχεύει Πορτογάλους crypto χρήστες
Πρόσφατα, το κακόβουλο Ekipa RAT διαδόθηκε μέσω ύπουλων αρχείων Microsoft Publisher. Επιπλέον, το Aurora Stealer διαδίδεται όλο και περισσότερο μέσω παραβιασμένων διαφημίσεων Google – ένας φορέας διανομής που γίνεται όλο και πιο διαδεδομένος τους τελευταίους μήνες.
Και οι δύο αλυσίδες επίθεσης διευκολύνουν την εκτέλεση ενός φορτωτή που βασίζεται σε Rust, ο οποίος, με τη σειρά του, τροποποιεί το αρχείο συντόμευσης LNK του προγράμματος περιήγησης και χρησιμοποιεί τον διακόπτη γραμμής εντολών “–load-extension” για την εκκίνηση του add-on.
Η ακριβής προέλευση του Rilide είναι άγνωστη, αλλά η Trustwave είπε ότι κατάφερε να βρει μια ανάρτηση σε darkweb forum που έγινε τον Μάρτιο του 2022 από έναν απειλητικό παράγοντα που διαφημίζει την πώληση ενός botnet με παρόμοιες λειτουργίες.
Μετά από μια αδιευκρίνιστη συναλλαγή, τμήματα του κώδικα του κακόβουλου λογισμικού εμφανίστηκαν σε φόρουμ σε όλο τον ιστό.
Ένα εντυπωσιακό χαρακτηριστικό που αποκαλύφθηκε στον πηγαίο κώδικα που διέρρευσε είναι η ικανότητά του να αντικαθιστά οποιαδήποτε διεύθυνση cryptocurrency wallet που είναι αποθηκευμένη σε ένα πρόχειρο με μια διεύθυνση προ-προγραμματισμένη από κακόβουλους φορείς.
Δείτε επίσης: Το Telegram είναι πλέον το ιδανικό μέρος για την πώληση εργαλείων και υπηρεσιών phishing
Επιπλέον, χρησιμοποιώντας μια διεύθυνση εντολών και ελέγχου (C2) που αναγνωρίστηκε στον κώδικα του Rilide, ήταν δυνατό να βρεθούν διάφορα αποθετήρια GitHub που σχετίζονται με το gulantin και περιείχαν loaders για την επέκταση. Ανταποκρινόμενο άμεσα σε αυτή την ανακάλυψη, το GitHub έκλεισε τον λογαριασμό.
«Το Rilide stealer είναι ένα χαρακτηριστικό παράδειγμα της αυξανόμενης πολυπλοκότητας των κακόβουλων επεκτάσεων του προγράμματος περιήγησης και των κινδύνων που ενέχουν», κατέληξε η Trustwave.
Πηγή πληροφοριών: thehackernews.com
