Η επέκταση του προγράμματος περιήγησης Rilide χρησιμοποιείται για παράκαμψη της 2FA και την κλοπή δεδομένων και περιουσιακών στοιχείων

Ερευνητές ασφαλείας ανακάλυψαν μια νέα κακόβουλη επέκταση προγράμματος περιήγησης με την ονομασία Rilide, η οποία στοχεύει σε προϊόντα που βασίζονται στο Chromium, όπως το Google Chrome, το Brave, το Opera και το Microsoft Edge. Το κακόβουλο λογισμικό έχει σχεδιαστεί για την παρακολούθηση της δραστηριότητας του προγράμματος περιήγησης, τη λήψη στιγμιότυπων οθόνης και την κλοπή κρυπτονομισμάτων μέσω σεναρίων που εισάγονται σε ιστοσελίδες. Οι ερευνητές της Trustwave SpiderLabs διαπίστωσαν ότι το Rilide μιμείται τις νόμιμες επεκτάσεις του Google Drive για να κρύβεται σε κοινή θέα, ενώ κάνει κατάχρηση των ενσωματωμένων λειτουργιών του Chrome. Η εταιρεία κυβερνοασφάλειας εντόπισε δύο ξεχωριστές εκστρατείες που διακινούσαν το Rilide. Η μία χρησιμοποιούσε τις διαφημίσεις Google και το Aurora Stealer για να φορτώσει την επέκταση χρησιμοποιώντας έναν φορτωτή Rust. Η άλλη διακινούσε την κακόβουλη επέκταση χρησιμοποιώντας το Ekipa trojan απομακρυσμένης πρόσβασης (RAT).

Δύο εκστρατείες που προωθούν το Rilide (Trustwave)

Ενώ η προέλευση του κακόβουλου λογισμικού είναι άγνωστη, η Trustwave αναφέρει ότι έχει επικαλύψεις με παρόμοιες επεκτάσεις που πωλούνται σε εγκληματίες του κυβερνοχώρου. Ταυτόχρονα, τμήματα του κώδικά του διέρρευσαν πρόσφατα σε ένα υπόγειο φόρουμ λόγω μιας διαμάχης μεταξύ κυβερνοεγκληματιών για ανεκπλήρωτη πληρωμή.

Ο loader του Rilide τροποποιεί τα αρχεία συντόμευσης του προγράμματος περιήγησης ιστού για να αυτοματοποιήσει την εκτέλεση της κακόβουλης επέκτασης που πέφτει στο μολυσμένο σύστημα.

Κακόβουλη επέκταση στον Edge (Trustwave)

Κατά την εκτέλεση, το κακόβουλο λογισμικό εκτελεί ένα σενάριο για να προσαρτήσει έναν ακροατή που παρακολουθεί πότε το θύμα αλλάζει καρτέλες, λαμβάνει περιεχόμενο ιστού ή ολοκληρώνει τη φόρτωση ιστοσελίδων. Επίσης, ελέγχει εάν η τρέχουσα τοποθεσία ταιριάζει με μια λίστα στόχων που είναι διαθέσιμη από τον (C2) διακομιστή εντολών και ελέγχου. Εάν υπάρχει ταύτιση, η επέκταση φορτώνει πρόσθετα σενάρια που εισάγονται στην ιστοσελίδα για να κλέψουν από το θύμα πληροφορίες που σχετίζονται με κρυπτονομίσματα, διαπιστευτήρια λογαριασμού ηλεκτρονικού ταχυδρομείου κ.λπ. Η επέκταση απενεργοποιεί επίσης την "Πολιτική ασφάλειας περιεχομένου", ένα χαρακτηριστικό ασφαλείας που έχει σχεδιαστεί για την προστασία από επιθέσεις cross-site scripting (XSS), για να φορτώνει ελεύθερα εξωτερικούς πόρους που κανονικά θα μπλοκάρει το πρόγραμμα περιήγησης. Εκτός από τα παραπάνω, η επέκταση αποκρύπτει τακτικά το ιστορικό περιήγησης και μπορεί επίσης να καταγράφει στιγμιότυπα οθόνης και να τα στέλνει στο C2.

Γράφημα δυνατοτήτων του Rilide (Trustwave)

Ένα ενδιαφέρον χαρακτηριστικό του Rilide είναι το σύστημα παράκαμψης του 2FA, το οποίο χρησιμοποιεί πλαστά παράθυρα διαλόγου για να εξαπατήσει τα θύματα ώστε να εισάγουν τους προσωρινούς κωδικούς τους. Το σύστημα ενεργοποιείται όταν το θύμα ξεκινά αίτημα ανάληψης κρυπτονομισμάτων σε μια υπηρεσία ανταλλαγής που στοχεύει το Rilide. Το κακόβουλο λογισμικό παρεμβαίνει την κατάλληλη στιγμή για να εισάγει το σενάριο στο παρασκήνιο και να επεξεργαστεί αυτόματα το αίτημα. Μόλις ο χρήστης εισάγει τον κωδικό του στον ψεύτικο διάλογο, το Rilide τον χρησιμοποιεί για να ολοκληρώσει τη διαδικασία ανάληψης στη διεύθυνση πορτοφολιού του δράστη. "Οι επιβεβαιώσεις ηλεκτρονικού ταχυδρομείου αντικαθίστανται επίσης on the fly, εάν ο χρήστης εισέλθει στο γραμματοκιβώτιο χρησιμοποιώντας το ίδιο πρόγραμμα περιήγησης ιστού", εξηγεί η Trustwave στην έκθεση. "Το email με το αίτημα ανάληψης αντικαθίσταται με ένα αίτημα εξουσιοδότησης συσκευής που εξαπατά τον χρήστη ώστε να δώσει τον κωδικό εξουσιοδότησης".

Αντικατάσταση του νόμιμου email (δεξιά) ενώ εξάγεται ο κωδικός 2FA (Trustwave)

To Rilide αναδεικνύει την αυξανόμενη πολυπλοκότητα των κακόβουλων επεκτάσεων του προγράμματος περιήγησης που διαθέτουν πλέον συστήματα ζωντανής παρακολούθησης και αυτοματοποιημένης κλοπής χρημάτων. Ενώ η εξάπλωση του Manifest v3 σε όλα τα προγράμματα περιήγησης που βασίζονται στο Chromium θα βελτιώσει την αντίσταση κατά των κακόβουλων επεκτάσεων, η Trustwave σχολιάζει ότι δεν θα εξαλείψει το πρόβλημα.