Kötü niyetli Rilide Stealer Chrome tarayıcı uzantısı, kripto kullanıcılarını ve kurumsal çalışanları kimlik bilgilerini ve kripto cüzdanlarını çalmaya yönelik yeni kampanyalara geri döndü.
Rilide, Nisan 2023'te keşfedilen Trustwave SpiderLabs'ın krom, kenar, cesur ve opera dahil olmak üzere krom bazlı tarayıcılar için kötü niyetli bir tarayıcı uzantısıdır.
İlk keşfedildiğinde, Rilide tarayıcı uzantısı, tarayıcıyı ele geçirmek, tüm kullanıcı etkinliklerini izlemek ve e -posta hesabı kimlik bilgileri veya kripto para birimi varlıkları gibi bilgileri çalmak için meşru Google Drive uzantılarını taklit etti.
TrustWave SpiderLabs, Rilide'in şimdi Chrome Uzantısı Manifest V3'ü destekleyen ve Google'ın yeni uzantı özellikleri tarafından getirilen kısıtlamaların üstesinden gelmesini ve tespitten kaçınmak için ek kod gizlemesi eklemesini sağlayan yeni bir sürüm keşfetti.
Ayrıca, en son Rilide kötü amaçlı yazılım uzantısı artık bankacılık hesaplarını hedefliyor. Çalınan verileri bir telgraf kanalı aracılığıyla veya önceden belirlenmiş aralıklarla ekran görüntülerini yakalayarak ve C2 sunucusuna göndererek ekran görüntülerini çekebilir.
Trustwave, Rilide'in devam eden birden fazla kampanyaya yayıldığını ve bu hacker forumlarında satılan bir emtia kötü amaçlı yazılımı olduğundan, muhtemelen farklı tehdit aktörleri tarafından yürütülüyor.
Bir kampanya, özellikle Avustralya ve İngiltere'deki kullanıcılara odaklanan enjeksiyon komut dosyalarını kullanan birden fazla bankayı, ödeme sağlayıcılarını, e -posta hizmet sağlayıcıları, kripto değişim platformları, VPN'ler ve bulut hizmet sağlayıcılarını hedefler.
Analistler, yazım hattı alanları kullanarak 1.500'den fazla kimlik avı sayfası keşfetti, güvenilir arama motorlarında SEO zehirlenmesi yoluyla teşvik edildi ve bankaları ve hizmet sağlayıcılarını kurbanları kimlik avı formlarında hesap kimlik bilgilerine girmeleri için taklit ettiler.
Başka bir durumda, kullanıcılar Sözde VPN veya Palo Alto'nun GlobalProtect uygulaması gibi güvenlik duvarı uygulamalarını tanıtan kimlik avı e -postaları ile enfekte olurlar.
Bu kampanyada, TrustWave, Zendesk çalışanlarını hedefleyen ve akıllıca bir güvenlik uyarısı gibi davranan ve kullanıcıları uzantıyı yüklemeye yönlendiren bir PowerPoint sunumu buldu.
Bu sunum, tehdit aktörlerinin kötü amaçlı yazılım dağıtmak için GlobalProtect'i taklit ettikleri konusunda uyardığını ve kullanıcının doğru yazılımı yüklemek için kılavuzdaki adımları izlemesi gereken adımlar sağladığı konusunda slaytları içerir.
Bununla birlikte, bu aslında hedeflenen kullanıcının kötü amaçlı rilide uzantısını yüklemesini sağlamak için bir sosyal mühendislik hilesidir.
Son olarak, Trustwave, Twitter'da çalışan bir kampanya tespit etti ve kurbanları sahte P2E (kazanmak için oyna) blockchain oyunları için kimlik avı web sitelerine götürdü. Bununla birlikte, bu sitelerdeki montajcılar, tehdit aktörlerinin kurbanların kripto para cüzdanlarını çalmasına izin vererek rilide uzantısını yükler.
Dağıtım kampanyası ne olursa olsun, kurulum üzerine, uzantı saldırganların sunucusuyla iletişim kurar ve aşağıdaki komutlardan birini alır:
Bu kapsamlı komutlarla, tehdit aktörleri daha sonra kripto cüzdanları için kullanılabilecek çok çeşitli bilgiler çalabilir ve çevrimiçi hesaplarına erişebilir.
Rilide'in V3'ü tezahür ettirmeye adaptasyonu, Google'ın yeni standardı Ocak 2023'ten bu yana eski uzantıların çalışmayı durdurmasını engellediğinden, operasyonu ve başarısı için hayati önem taşıyor.
Manifest V3, uzantının kullanıcı ağı isteklerine erişimini sınırlar, uzak kaynaklardan yükleme kodunu önler ve tüm ağ isteği değişikliklerini uzantılardan tarayıcıya taşır.
Bu, Rilide'i uzaktan barındırılan JS komut dosyalarının enjeksiyonuna dayandığı için etkiler, bu nedenle yazarları Google'ın gereksinimlerini atlayan herkese açık olarak açıklanan tekniklerin bir kombinasyonunu uygulamak zorunda kalmıştır.
Örneğin, TrustWave'in analistleri, yeni sürümün kötü amaçlı JavaScript yürütmek için satır içi olayları kullandığını ve API'leri içerik güvenliği politikası (CSP) tarafından yerleştirilen XSS önleme mekanizmasını atlatmaları için bildiren net talepleri kötüye kullandığını bildiriyor.
Rilide, Manifest V3 politikalarının sıkı bir şekilde uygulandığı Chrome Web mağazası aracılığıyla dağıtılmadığından, yazarları uzaktan barındırılan kodu yürütmek için geçici çözümler uygulayabilir.
Trustwave'in araştırmacıları, Rilide için birden fazla damlalığın kullanımını gözlemlediler, bu da kötü amaçlı yazılımların kendi dağıtım yöntemlerini tasarlaması gereken siber suçlulara 5.000 dolar satılmasıyla açıklandı.
Ayrıca, yeraltı forumlarında potansiyel olarak otantik Rilide kaynak kodu sızıntıları olmuştur ve kötü amaçlı yazılım kodunu birçok bilgisayar korsanına maruz bırakmıştır.
Bütün bunlar vahşi doğada çeşitlilik katar ve Rilide kampanyalarını harita ve izlemeyi zorlaştırır.
Kötü amaçlı yazılımın orijinal yazarı kötü niyetli krom uzantısını geliştirmeye devam ettikçe, Rilide'in vahşi aktivitesinin azalması pek olası değildir.
Sahte Warez siteleri aracılığıyla itilen yeni 'şampuan' kromelloader kötü amaçlı yazılım
Google, Android kötü amaçlı yazılımın Google Play Store'a nasıl kaydığını açıklıyor
Bilgisayar korsanları çalma sinyali, sahte android sohbet uygulamasıyla whatsapp kullanıcı verileri
Tarayıcı geliştiricileri Google'ın “Web DRM” WEI API'sine geri dönüyor
Google Chrome, bağlantıların üzerine geldiğinde 'bağlantı önizlemeleri' sunacak
Kaynak: Bleeping Computer