Основы Интернет - технологий.

Специалисты Trustwave SpiderLabs рассказали о новой малвари Rilide, которая ворует конфиденциальные данные и криптовалюту, нацеливаясь на браузеры на основе Chromium. В основном Rilide маскируется под легитимное расширение Google Drive.

Более того, малварь может отображать фейковые диалоговые окна, чтобы вынудить пользователей ввести код двухфакторной аутентификации для подтверждения перевода цифровых активов.

Аналитики пишут, что выявили сразу две разные кампании с участием Ekipa RAT и Aurora Stealer, которые приводили к установке вредоносного расширения. Если Ekipa RAT распространяется через вредоносные файлы Microsoft Publisher, то Aurora Stealer в основном распространяется через мошеннические объявления в Google Ads.

Обе цепочки атак приводят к выполнению загрузчика на Rust, который, в свою очередь, модифицирует LNK-файл браузера и использует --load-extension для запуска расширения.

Кто стоит за этими атаками пока неясно, но специалистам удалось найти пост на хакерском форуме, сделанный еще в марте 2022 года. В этом сообщении рекламировалась продажа ботнета с аналогичными функциями, и с тех пор часть исходного кода малвари с попала в открытый доступ из-за неразрешенного спора об оплате.

Также в отчете отмечается, что C&C-адрес, указанный в коде Rilide, позволил идентифицировать репозитории на GitHub, принадлежащие пользователю с gulantin, в которых содержатся загрузчики для вредоносного расширения.

Исследователи говорят, что грядущий переход на Manifest v3, который определяет возможности и ограничения для расширений, может усложнить работу злоумышленников, но это вряд ли полностью решит проблему, поскольку большинство функций, используемых Rilide, по-прежнему будут работать.

Здесь следует отметить, что на днях переход на Manifest V3, который планировали начать еще в январе 2023 года, снова отложили. На этот раз разработчики Google вообще не называют точных сроков, но обещают, что у создателей расширений будет достаточно времени для миграции — не менее полугода.