Η κακόβουλη επέκταση του προγράμματος περιήγησης Rilide Stealer Chrome επέστρεψε σε νέες εκστρατείες με στόχο κρυπτοχρήστες και υπαλλήλους επιχειρήσεων για την κλοπή διαπιστευτηρίων και πορτοφολιών κρυπτονομισμάτων.

Δείτε επίσης: Νέο Rilide malware στοχεύει browsers που βασίζονται σε Chromium για την κλοπή cryptocurrency

Το Rilide είναι μια κακόβουλη επέκταση προγράμματος περιήγησης για προγράμματα περιήγησης που βασίζονται στο Chromium, συμπεριλαμβανομένων των Chrome, Edge, Brave και Opera, η οποία ανακαλύφθηκε αρχικά από την Trustwave SpiderLabs τον Απρίλιο του 2023.

Όταν ανακαλύφθηκε για πρώτη φορά, η επέκταση προγράμματος περιήγησης Rilide υποδυόταν τις νόμιμες επεκτάσεις Google Drive για να καταλάβει το πρόγραμμα περιήγησης, να παρακολουθεί όλες τις δραστηριότητες του χρήστη και να κλέψει πληροφορίες όπως τα διαπιστευτήρια λογαριασμού ηλεκτρονικού ταχυδρομείου ή περιουσιακά στοιχεία κρυπτονομισμάτων.

Μια νέα έκδοση του Rilide υποστηρίζει πλέον το Chrome Extension Manifest V3, επιτρέποντάς του να ξεπεράσει τους περιορισμούς που εισάγονται από τις νέες προδιαγραφές των επεκτάσεων της Google και προσθέτοντας πρόσθετη συσκότιση κώδικα για να αποφύγει τον εντοπισμό. Επιπλέον, η πιο πρόσφατη επέκταση κακόβουλου λογισμικού Rilide στοχεύει πλέον και σε τραπεζικούς λογαριασμούς και μπορεί να εξαφανίσει τα κλεμμένα δεδομένα μέσω ενός καναλιού Telegram ή με τη λήψη στιγμιότυπων οθόνης σε προκαθορισμένα χρονικά διαστήματα και την αποστολή τους στον server C2.

Παριστάνοντας τις επεκτάσεις του Palo Alto

Σύμφωνα με την Trustwave, το Rilide είναι ένα κακόβουλο λογισμικό που πωλείται σε φόρουμ χάκερ και εξαπλώνεται σε πολλαπλές συνεχείς εκστρατείες, οι οποίες πιθανότατα διεξάγονται από διαφορετικούς δράστες. Μία εκστρατεία στοχεύει σε πολλές τράπεζες, παρόχους υπηρεσιών πληρωμών, παρόχους υπηρεσιών ηλεκτρονικού ταχυδρομείου, πλατφόρμες ανταλλαγής κρυπτονομισμάτων, VPN και παρόχους υπηρεσιών cloud, εστιάζοντας κυρίως σε χρήστες στην Αυστραλία και το Ηνωμένο Βασίλειο.

Σελίδα phishing της HSBC στο πλαίσιο εκστρατείας Rilide

Οι αναλυτές ανακάλυψαν πάνω από 1.500 σελίδες phishing που χρησιμοποιούν typosquatting domains, οι οποίες προωθούνται μέσω SEO poisoning σε αξιόπιστες μηχανές αναζήτησης. Αυτές οι σελίδες υποδύονται τις τράπεζες και τους παρόχους υπηρεσιών για να εξαπατήσουν τα θύματα ώστε να εισάγουν τα στοιχεία του λογαριασμού τους σε φόρμες phishing.Σε μια άλλη περίπτωση, οι χρήστες μολύνονται μέσω μηνυμάτων ηλεκτρονικού ταχυδρομείου phishing που υποτίθεται ότι προωθούν εφαρμογές VPN ή τείχους προστασίας, όπως η εφαρμογή GlobalProtect της Palo Alto.

Σε μια άλλη περίπτωση, οι χρήστες μολύνονται με το Rilide μέσω ηλεκτρονικών μηνυμάτων ηλεκτρονικού phishing που υποτίθεται ότι προωθούν εφαρμογές VPN ή τείχους προστασίας, όπως η εφαρμογή GlobalProtect της Palo Alto. Η Trustwave βρήκε μια παρουσίαση PowerPoint με στόχο τους υπαλλήλους της ZenDesk που προσποιείται έξυπνα ότι είναι μια προειδοποίηση ασφαλείας, καθοδηγώντας τους χρήστες στην εγκατάσταση της επέκτασης.

Έγγραφο PowerPoint που δημιουργήθηκε για να καθοδηγήσει τους χρήστες στην εγκατάσταση του Rilide

Η παρουσίαση περιλαμβάνει διαφάνειες που προειδοποιούν ότι οι δράστες υποδύονται το GlobalProtect για να διανείμουν κακόβουλο λογισμικό και παρέχει βήματα που πρέπει να ακολουθήσει ο χρήστης για να εγκαταστήσει το σωστό λογισμικό. Ωστόσο, αυτό είναι στην πραγματικότητα ένα τέχνασμα κοινωνικής μηχανικής για να πείσει τον χρήστη-στόχο να εγκαταστήσει αντ’ αυτού την κακόβουλη επέκταση Rilide.

Τέλος, η Trustwave εντόπισε μια εκστρατεία που τρέχει στο Twitter, οδηγώντας τα θύματα σε ιστοσελίδες phishing για ψεύτικα παιχνίδια blockchain P2E (Play To Earn). Ωστόσο, οι εγκαταστάτες σε αυτές τις τοποθεσίες εγκαθιστούν αντ’ αυτού την επέκταση Rilide, επιτρέποντας στους δράστες να κλέψουν τα πορτοφόλια κρυπτονομισμάτων των θυμάτων.

Αλυσίδες μόλυνσης για τρεις εκστρατείες Rilide

Πρόταση: Παραβιασμένα sites διαδίδουν malware μέσω ψεύτικων Chrome updates

Ανεξάρτητα από την εκστρατεία διανομής, κατά την εγκατάσταση, η επέκταση επικοινωνεί με τον server των δραστών και λαμβάνει μία από τις ακόλουθες εντολές:

extension – Ενεργοποίηση ή απενεργοποίηση μιας επέκτασης από τη λίστα των εγκατεστημένων επεκτάσεων.

Info – Αποστολή πληροφοριών συστήματος και προγράμματος περιήγησης στο server C2. Λήψη όλων των ρυθμίσεων διαμόρφωσης.

Push – Δημιουργία ειδοποίησης με καθορισμένο μήνυμα, τίτλο και εικονίδιο. Με κλικ στην ειδοποίηση, θα ανοίξει νέα καρτέλα με διεύθυνση URL από το server C2.

Cookies – Λήψη όλων των cookies του προγράμματος περιήγησης και αποστολή τους στο server C2.

Screenshot (Στιγμιότυπο οθόνης) – Καταγράφει την ορατή περιοχή της τρέχουσας ενεργής καρτέλας στο τρέχον παράθυρο.

url – Δημιουργία νέας καρτέλας με την παρεχόμενη διεύθυνση URL.

current_url – Ανάκτηση της διεύθυνσης URL από την ενεργή καρτέλα.

History – Λήψη του ιστορικού περιήγησης από τις τελευταίες 30 ημέρες.

Injects – Ανάκτηση κώδικα injection για εφαρμογή σε συγκεκριμένες διευθύνσεις URL.

Settings – Ανάκτηση ρυθμίσεων proxy, grabbers και telegram.

Proxy – Ενεργοποίηση ή απενεργοποίηση του proxy. Οι δράστες χρησιμοποιούν την υλοποίηση proxy από το εργαλείο ‘CursedChrome’ που επιτρέπει την περιήγηση στον ιστό με αυθεντικοποίηση ως θύμα.

screenshot_rules – Ενημερώνει τη λίστα κανόνων για τη μονάδα συλλογής στιγμιότυπων οθόνης σε καθορισμένα χρονικά διαστήματα.

Με αυτό το εκτεταμένο σύνολο εντολών, οι δράστες μπορούν να κλέψουν ένα ευρύ φάσμα πληροφοριών που μπορούν στη συνέχεια να χρησιμοποιηθούν σε πορτοφόλια κρύπτο και να αποκτήσουν πρόσβαση στους διαδικτυακούς λογαριασμούς τους.

Παράκαμψη Manifest V3

Το Rilide είναι μια επέκταση που έπρεπε να προσαρμοστεί στο νέο πρότυπο Manifest V3 της Google, το οποίο εμποδίζει τις παλαιότερες επεκτάσεις να σταματήσουν να λειτουργούν από τον Ιανουάριο του 2023. Το Manifest V3 περιορίζει την πρόσβαση της επέκτασης στις αιτήσεις δικτύου του χρήστη, αποτρέπει τη φόρτωση κώδικα από απομακρυσμένες πηγές και μεταφέρει όλες τις τροποποιήσεις των αιτήσεων δικτύου από τις επεκτάσεις στο πρόγραμμα περιήγησης. Αυτό επηρεάζει το Rilide, καθώς βασίζεται στο injection απομακρυσμένων JS scripts που φιλοξενούνται από απόσταση. Οι δημιουργοί του χρειάστηκε να εφαρμόσουν έναν συνδυασμό δημοσιευμένων τεχνικών που παρακάμπτουν τις απαιτήσεις της Google, όπως η χρήση inline events για την εκτέλεση κακόβουλης JavaScript και η κατάχρηση των Declarative Net Requests APIs για την παράκαμψη του μηχανισμού αποτροπής XSS που έχει τεθεί σε εφαρμογή από την Πολιτική Ασφάλειας Περιεχομένου (CSP). Δεδομένου ότι το Rilide δεν διανέμεται μέσω του Chrome Web Store, όπου οι πολιτικές Manifest V3 επιβάλλονται αυστηρά, οι δημιουργοί του μπορούν να εφαρμόσουν παρακάμψεις για την εκτέλεση κώδικα που φιλοξενείται εξ αποστάσεως.

Πλήρες διάγραμμα λειτουργιών της Rilide

Γίνεται όλο και πιο δημοφιλής στους χάκερς

Σύμφωνα με τους ερευνητές της Trustwave, το malware Rilide πωλείται για 5.000 δολάρια σε εγκληματίες του κυβερνοχώρου, οι οποίοι πρέπει να επινοήσουν τη δική τους μέθοδο διανομής, με αποτέλεσμα τη χρήση πολλαπλών dropper για το Rilide. Επιπλέον, υπήρξαν αρκετές διαρροές ενδεχομένως αυθεντικού πηγαίου κώδικα του Rilide σε υπόγεια φόρουμ, εκθέτοντας τον πηγαίο κώδικα του κακόβουλου λογισμικού σε πολλούς χάκερ. Αυτό προσθέτει ποικιλία στην αγορά και καθιστά τις εκστρατείες Rilide πιο δύσκολο να χαρτογραφηθούν και να εντοπιστούν. Καθώς ο αρχικός συγγραφέας του κακόβουλου λογισμικού συνεχίζει να βελτιώνει την κακόβουλη επέκταση του Chrome, η δραστηριότητα του Rilide είναι απίθανο να μειωθεί.

Διαβάστε επίσης: Hackers στοχεύουν air-gapped συσκευές στην Ανατολική Ευρώπη με νέο malware

πηγή πληροφοριών:bleepingcomputer.com