Вредонос Rilide ориентирован на Chromium-браузеры - «Новости»

  • 10:30, 06-апр-2023
  • Новости / Текст / Линии и рамки / Заработок
  • Ogden
  • 0

Специалисты Trustwave SpiderLabs рассказали о новой малвари Rilide, которая ворует конфиденциальные данные и криптовалюту, нацеливаясь на браузеры на основе Chromium. В основном Rilide маскируется под легитимное расширение Google Drive.


«Вредоносное ПО Rilide маскируется под легитимное расширение Google Drive и позволяет злоумышленникам выполнять широкий спектр вредоносных действий, включая мониторинг истории браузера, создание скриншотов и внедрение вредоносных скриптов для вывода средств с различных криптовалютных бирж», — рассказываю эксперты.


Более того, малварь может отображать фейковые диалоговые окна, чтобы вынудить пользователей ввести код двухфакторной аутентификации для подтверждения перевода цифровых активов.


Аналитики пишут, что выявили сразу две разные кампании с участием Ekipa RAT и Aurora Stealer, которые приводили к установке вредоносного расширения. Если Ekipa RAT распространяется через вредоносные файлы Microsoft Publisher, то Aurora Stealer в основном распространяется через мошеннические объявления в Google Ads.


Вредонос Rilide ориентирован на Chromium-браузеры - «Новости»

Схема атаки

Обе цепочки атак приводят к выполнению загрузчика на Rust, который, в свою очередь, модифицирует LNK-файл браузера и использует --load-extension для запуска расширения.


Кто стоит за этими атаками пока неясно, но специалистам удалось найти пост на хакерском форуме, сделанный еще в марте 2022 года. В этом сообщении рекламировалась продажа ботнета с аналогичными функциями, и с тех пор часть исходного кода малвари с попала в открытый доступ из-за неразрешенного спора об оплате.


Также в отчете отмечается, что C&C-адрес, указанный в коде Rilide, позволил идентифицировать репозитории на GitHub, принадлежащие пользователю с gulantin, в которых содержатся загрузчики для вредоносного расширения.





Исследователи говорят, что грядущий переход на Manifest v3, который определяет возможности и ограничения для расширений, может усложнить работу злоумышленников, но это вряд ли полностью решит проблему, поскольку большинство функций, используемых Rilide, по-прежнему будут работать.


Здесь следует отметить, что на днях переход на Manifest V3, который планировали начать еще в январе 2023 года, снова отложили. На этот раз разработчики Google вообще не называют точных сроков, но обещают, что у создателей расширений будет достаточно времени для миграции — не менее полугода.


Специалисты Trustwave SpiderLabs рассказали о новой малвари Rilide, которая ворует конфиденциальные данные и криптовалюту, нацеливаясь на браузеры на основе Chromium. В основном Rilide маскируется под легитимное расширение Google Drive. «Вредоносное ПО Rilide маскируется под легитимное расширение Google Drive и позволяет злоумышленникам выполнять широкий спектр вредоносных действий, включая мониторинг истории браузера, создание скриншотов и внедрение вредоносных скриптов для вывода средств с различных криптовалютных бирж», — рассказываю эксперты. Более того, малварь может отображать фейковые диалоговые окна, чтобы вынудить пользователей ввести код двухфакторной аутентификации для подтверждения перевода цифровых активов. Аналитики пишут, что выявили сразу две разные кампании с участием Ekipa RAT и Aurora Stealer, которые приводили к установке вредоносного расширения. Если Ekipa RAT распространяется через вредоносные файлы Microsoft Publisher, то Aurora Stealer в основном распространяется через мошеннические объявления в Google Ads. Схема атаки Обе цепочки атак приводят к выполнению загрузчика на Rust, который, в свою очередь, модифицирует LNK-файл браузера и использует --load-extension для запуска расширения. Кто стоит за этими атаками пока неясно, но специалистам удалось найти пост на хакерском форуме, сделанный еще в марте 2022 года. В этом сообщении рекламировалась продажа ботнета с аналогичными функциями, и с тех пор часть исходного кода малвари с попала в открытый доступ из-за неразрешенного спора об оплате. Также в отчете отмечается, что C

Другие новости

Реклама


Рекомендуем

Комментарии (0)

Комментарии для сайта Cackle



Уважаемый посетитель нашего сайта!
Комментарии к данной записи отсутсвуют. Вы можете стать первым!