Специалисты Trustwave SpiderLabs рассказали о новой малвари Rilide, которая ворует конфиденциальные данные и криптовалюту, нацеливаясь на браузеры на основе Chromium. В основном Rilide маскируется под легитимное расширение Google Drive.
«Вредоносное ПО Rilide маскируется под легитимное расширение Google Drive и позволяет злоумышленникам выполнять широкий спектр вредоносных действий, включая мониторинг истории браузера, создание скриншотов и внедрение вредоносных скриптов для вывода средств с различных криптовалютных бирж», — рассказываю эксперты.
Более того, малварь может отображать фейковые диалоговые окна, чтобы вынудить пользователей ввести код двухфакторной аутентификации для подтверждения перевода цифровых активов.
Аналитики пишут, что выявили сразу две разные кампании с участием Ekipa RAT и Aurora Stealer, которые приводили к установке вредоносного расширения. Если Ekipa RAT распространяется через вредоносные файлы Microsoft Publisher, то Aurora Stealer в основном распространяется через мошеннические объявления в Google Ads.
Обе цепочки атак приводят к выполнению загрузчика на Rust, который, в свою очередь, модифицирует LNK-файл браузера и использует --load-extension для запуска расширения.
Кто стоит за этими атаками пока неясно, но специалистам удалось найти пост на хакерском форуме, сделанный еще в марте 2022 года. В этом сообщении рекламировалась продажа ботнета с аналогичными функциями, и с тех пор часть исходного кода малвари с попала в открытый доступ из-за неразрешенного спора об оплате.
Также в отчете отмечается, что C&C-адрес, указанный в коде Rilide, позволил идентифицировать репозитории на GitHub, принадлежащие пользователю с gulantin, в которых содержатся загрузчики для вредоносного расширения.
Исследователи говорят, что грядущий переход на Manifest v3, который определяет возможности и ограничения для расширений, может усложнить работу злоумышленников, но это вряд ли полностью решит проблему, поскольку большинство функций, используемых Rilide, по-прежнему будут работать.
Здесь следует отметить, что на днях переход на Manifest V3, который планировали начать еще в январе 2023 года, снова отложили. На этот раз разработчики Google вообще не называют точных сроков, но обещают, что у создателей расширений будет достаточно времени для миграции — не менее полугода.