Rilide خود را به عنوان یک برنامه افزودنی قانونی گوگل درایو نشان می دهد و به مجرمان سایبری اجازه می دهد تا فعالیت های مختلفی از جمله دریافت اطلاعات تاریخچه مرور، گرفتن اسکرین شات و برداشت وجه از صرافی های مختلف ارزهای دیجیتال را انجام دهند.
محققان امنیت سایبری در Trustwave SpiderLabs کشف شده نوع جدیدی از بدافزار به نام Rilide که مرورگرهای مبتنی بر کرومیوم مانند گوگل کروم، مایکروسافت اج، بریو و اپرا را هدف قرار میدهد و ارزهای دیجیتال کاربران را میدزدد.
ویروس Rilide بر دارندگان کریپتو تأثیر می گذارد
تفاوت Rilide با دیگر گونههای بدافزاری که SpiderLabs با آنها مواجه شده است، در این است که از دیالوگهای جعلی استفاده میکند تا کاربران را فریب دهد تا کدهای احراز هویت دو مرحلهای (2FA) خود را فاش کنند. این به بدافزار اجازه میدهد تا بدون اطلاع کاربر، ارزهای دیجیتال را در پسزمینه برداشت کند.
در طول بررسی منشا Rilide، محققان دریافتند که افزونههای مرورگر مشابهی برای فروش تبلیغ میشوند و متوجه شدند که بخشی از کد آن اخیراً در یک انجمن زیرزمینی به دلیل اختلاف در پرداخت منتشر شده است.
محققان دو کمپین مخرب را کشف کردند که منجر به نصب افزونه Rilide می شود. یکی از این کمپین ها شامل یک ماژول بود که حاوی یک لکه کدگذاری شده از داده ها بود که URL را برای بارگذار Rilide ذخیره می کرد.
باری که در Discord CDN میزبانی شده بود، در دایرکتوری %temp% ذخیره شد و از طریق cmdlet PowerShell شروع فرآیند اجرا شد.
در صورت شناسایی مرورگر مبتنی بر Chromium، Rilide از یک Rust loader برای نصب افزونه استفاده میکند. لودر فایل های میانبر را تغییر می دهد که مرورگرهای وب مورد نظر را باز می کند، به طوری که آنها با پارامتر –load-extension اجرا می شوند که به پسوند مخرب Rilide حذف شده اشاره می کند.
اسکریپت پسزمینه بدافزار یک شنونده را به رویدادهای خاصی متصل میکند و دستورالعمل سیاست امنیت محتوا (CSP) را برای همه درخواستها حذف میکند، و به برنامه افزودنی اجازه میدهد حمله انجام دهد و منابع خارجی را بارگیری کند که توسط CSP بدون چنین رویکردی مسدود میشوند.
اسکریپت های مبادله رمزنگاری Rilide از عملکرد برداشت پشتیبانی می کنند. در حالی که برداشتها در پسزمینه پردازش میشوند، یک گفتگوی احراز هویت دستگاه جعلی برای دریافت کد 2FA به کاربر ارائه میشود. اگر کاربر با استفاده از همان مرورگر وب وارد صندوق پستی خود شود و کاربر را فریب دهد تا کد مجوز را ارائه کند، تأییدیه های ایمیل در لحظه جایگزین می شوند.
SpiderLabs در طول تحقیقات خود چندین افزونه دزد را برای فروش با قابلیت هایی مشابه Rilide پیدا کرد، اما آنها نتوانستند به طور قطعی هیچ یک از آنها را به بدافزار مرتبط کنند. آنها همچنین یک آگهی فروش بات نت را از یک انجمن زیرزمینی به تاریخ مارس 2022 کشف کردند که شامل ویژگی هایی مانند پروکسی معکوس و کلیک کننده تبلیغات بود.
عملکرد برداشت خودکار بات نت به همان مبادلات مشاهده شده در نمونه های Rilide حمله می کند.
Rilide به عنوان یک نمونه بارز از پیچیدگی در حال توسعه پسوندهای مرورگر مخرب و خطراتی است که آنها ایجاد می کنند. اگرچه اجرای آتی مانیفست v3 ممکن است چالشهای بیشتری را برای فعالان تهدید ایجاد کند، اما بعید است که این مشکل به طور کامل حل شود، زیرا اکثر قابلیتهای اعمال شده توسط Rilide همچنان در دسترس خواهند بود.
برای محافظت در برابر چنین تهدیداتی، لازم است در هنگام دریافت ایمیلها یا پیامهای ناخواسته هوشیار باشید و از آخرین تهدیدات امنیت سایبری و اقدامات ایمنی آگاه باشید تا خطر قربانی شدن در حملات فیشینگ را به حداقل برسانید.