Специалисты Trustwave SpiderLabs рассказали о новой малвари Rilide, которая ворует конфиденциальные данные и криптовалюту, нацеливаясь на браузеры на основе Chromium. В основном Rilide маскируется под легитимное расширение Google Drive.

«Вредоносное ПО Rilide маскируется под легитимное расширение Google Drive и позволяет злоумышленникам выполнять широкий спектр вредоносных действий, включая мониторинг истории браузера, создание скриншотов и внедрение вредоносных скриптов для вывода средств с различных криптовалютных бирж», — рассказываю эксперты.

Более того, малварь может отображать фейковые диалоговые окна, чтобы вынудить пользователей ввести код двухфакторной аутентификации для подтверждения перевода цифровых активов.

Аналитики пишут, что выявили сразу две разные кампании с участием Ekipa RAT и Aurora Stealer, которые приводили к установке вредоносного расширения. Если Ekipa RAT распространяется через вредоносные файлы Microsoft Publisher, то Aurora Stealer в основном распространяется через мошеннические объявления в Google Ads.

Схема атаки

Обе цепочки атак приводят к выполнению загрузчика на Rust, который, в свою очередь, модифицирует LNK-файл браузера и использует --load-extension для запуска расширения.

Кто стоит за этими атаками пока неясно, но специалистам удалось найти пост на хакерском форуме, сделанный еще в марте 2022 года. В этом сообщении рекламировалась продажа ботнета с аналогичными функциями, и с тех пор часть исходного кода малвари с попала в открытый доступ из-за неразрешенного спора об оплате.

Также в отчете отмечается, что C&C-адрес, указанный в коде Rilide, позволил идентифицировать репозитории на GitHub, принадлежащие пользователю с gulantin, в которых содержатся загрузчики для вредоносного расширения.

Исследователи говорят, что грядущий переход на Manifest v3, который определяет возможности и ограничения для расширений, может усложнить работу злоумышленников, но это вряд ли полностью решит проблему, поскольку большинство функций, используемых Rilide, по-прежнему будут работать.

Здесь следует отметить, что на днях переход на Manifest V3, который планировали начать еще в январе 2023 года, снова отложили. На этот раз разработчики Google вообще не называют точных сроков, но обещают, что у создателей расширений будет достаточно времени для миграции — не менее полугода.

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    0 комментариев
    Межтекстовые Отзывы
    Посмотреть все комментарии