Rilide 伪装成合法的 Google Drive 扩展,并允许网络犯罪分子进行各种活动,包括获取浏览历史数据、截取屏幕截图以及从各种加密货币交易所提取资金。
Trustwave SpiderLabs 的网络安全研究人员已经 发现 一种名为 Rilide 的新型恶意软件,它以基于 Chromium 的浏览器(如 Google Chrome、Microsoft Edge、Brave 和 Opera)为目标,并窃取用户的加密货币。
Rilide 病毒影响加密货币持有者
Rilide 与 SpiderLabs 遇到的其他恶意软件不同,它使用伪造的对话框来欺骗用户交出他们的双因素身份验证 (2FA) 代码。 这允许恶意软件在用户不知情的情况下在后台提取加密货币。
在调查 Rilide 的起源过程中,研究人员发现了类似的浏览器扩展被广告出售,并发现其部分代码最近因支付纠纷而在地下论坛上发布。
研究人员发现了两个导致安装 Rilide 扩展的恶意活动。 一个这样的活动涉及一个模块,该模块包含一个编码的数据块,用于存储 Rilide 加载器的 URL。
托管在 Discord CDN 上的负载被保存到 %temp% 目录并通过 start-process PowerShell cmdlet 执行。
如果检测到基于 Chromium 的浏览器,Rilide 会利用 Rust 加载程序安装扩展。 加载程序修改打开目标 Web 浏览器的快捷方式文件,以便使用指向已删除的恶意 Rilide 扩展程序的参数 –load-extension 执行它们。
恶意软件的后台脚本将侦听器附加到某些事件并删除所有请求的内容安全策略 (CSP) 指令,从而允许扩展执行攻击并加载外部资源,如果没有这种方法,这些资源将被 CSP 阻止。
Rilide 的加密交换脚本支持提款功能。 当提款在后台处理时,用户会看到一个伪造的设备身份验证对话框,以获取他们的 2FA 代码。 如果用户使用相同的 Web 浏览器输入他们的邮箱,则电子邮件确认会被即时替换,从而诱使用户提供授权代码。
在他们的研究过程中,SpiderLabs 发现了几个具有与 Rilide 类似功能的窃取器扩展出售,但他们无法明确地将其中任何一个与恶意软件联系起来。 他们还从一个日期为 2022 年 3 月的地下论坛发现了一个僵尸网络销售广告,其中包括反向代理和广告点击器等功能。
僵尸网络的自动取款功能攻击了在 Rilide 样本中观察到的相同交易。
Rilide 是恶意浏览器扩展的复杂发展及其带来的危险的主要示例。 尽管即将实施的 manifest v3 可能会给威胁行为者的操作带来更多挑战,但不太可能完全解决这个问题,因为 Rilide 使用的大部分功能仍然可用。
为防范此类威胁,必须在收到未经请求的电子邮件或消息时保持警惕,并随时了解最新的网络安全威胁和安全实践,以最大程度地降低成为网络钓鱼攻击受害者的风险。