Rilide خود را به عنوان یک برنامه افزودنی قانونی گوگل درایو نشان می دهد و به مجرمان سایبری اجازه می دهد تا فعالیت های مختلفی از جمله دریافت اطلاعات تاریخچه مرور، گرفتن اسکرین شات و برداشت وجه از صرافی های مختلف ارزهای دیجیتال را انجام دهند.

محققان امنیت سایبری در Trustwave SpiderLabs کشف شده نوع جدیدی از بدافزار به نام Rilide که مرورگرهای مبتنی بر کرومیوم مانند گوگل کروم، مایکروسافت اج، بریو و اپرا را هدف قرار می‌دهد و ارزهای دیجیتال کاربران را می‌دزدد.

ویروس Rilide بر دارندگان کریپتو تأثیر می گذارد

تفاوت Rilide با دیگر گونه‌های بدافزاری که SpiderLabs با آنها مواجه شده است، در این است که از دیالوگ‌های جعلی استفاده می‌کند تا کاربران را فریب دهد تا کدهای احراز هویت دو مرحله‌ای (2FA) خود را فاش کنند. این به بدافزار اجازه می‌دهد تا بدون اطلاع کاربر، ارزهای دیجیتال را در پس‌زمینه برداشت کند.

در طول بررسی منشا Rilide، محققان دریافتند که افزونه‌های مرورگر مشابهی برای فروش تبلیغ می‌شوند و متوجه شدند که بخشی از کد آن اخیراً در یک انجمن زیرزمینی به دلیل اختلاف در پرداخت منتشر شده است.

محققان دو کمپین مخرب را کشف کردند که منجر به نصب افزونه Rilide می شود. یکی از این کمپین ها شامل یک ماژول بود که حاوی یک لکه کدگذاری شده از داده ها بود که URL را برای بارگذار Rilide ذخیره می کرد.

باری که در Discord CDN میزبانی شده بود، در دایرکتوری %temp% ذخیره شد و از طریق cmdlet PowerShell شروع فرآیند اجرا شد.

در صورت شناسایی مرورگر مبتنی بر Chromium، Rilide از یک Rust loader برای نصب افزونه استفاده می‌کند. لودر فایل های میانبر را تغییر می دهد که مرورگرهای وب مورد نظر را باز می کند، به طوری که آنها با پارامتر –load-extension اجرا می شوند که به پسوند مخرب Rilide حذف شده اشاره می کند.

اسکریپت پس‌زمینه بدافزار یک شنونده را به رویدادهای خاصی متصل می‌کند و دستورالعمل سیاست امنیت محتوا (CSP) را برای همه درخواست‌ها حذف می‌کند، و به برنامه افزودنی اجازه می‌دهد حمله انجام دهد و منابع خارجی را بارگیری کند که توسط CSP بدون چنین رویکردی مسدود می‌شوند.

اسکریپت های مبادله رمزنگاری Rilide از عملکرد برداشت پشتیبانی می کنند. در حالی که برداشت‌ها در پس‌زمینه پردازش می‌شوند، یک گفتگوی احراز هویت دستگاه جعلی برای دریافت کد 2FA به کاربر ارائه می‌شود. اگر کاربر با استفاده از همان مرورگر وب وارد صندوق پستی خود شود و کاربر را فریب دهد تا کد مجوز را ارائه کند، تأییدیه های ایمیل در لحظه جایگزین می شوند.

SpiderLabs در طول تحقیقات خود چندین افزونه دزد را برای فروش با قابلیت هایی مشابه Rilide پیدا کرد، اما آنها نتوانستند به طور قطعی هیچ یک از آنها را به بدافزار مرتبط کنند. آنها همچنین یک آگهی فروش بات نت را از یک انجمن زیرزمینی به تاریخ مارس 2022 کشف کردند که شامل ویژگی هایی مانند پروکسی معکوس و کلیک کننده تبلیغات بود.

عملکرد برداشت خودکار بات نت به همان مبادلات مشاهده شده در نمونه های Rilide حمله می کند.

Rilide به عنوان یک نمونه بارز از پیچیدگی در حال توسعه پسوندهای مرورگر مخرب و خطراتی است که آنها ایجاد می کنند. اگرچه اجرای آتی مانیفست v3 ممکن است چالش‌های بیشتری را برای فعالان تهدید ایجاد کند، اما بعید است که این مشکل به طور کامل حل شود، زیرا اکثر قابلیت‌های اعمال شده توسط Rilide همچنان در دسترس خواهند بود.

برای محافظت در برابر چنین تهدیداتی، لازم است در هنگام دریافت ایمیل‌ها یا پیام‌های ناخواسته هوشیار باشید و از آخرین تهدیدات امنیت سایبری و اقدامات ایمنی آگاه باشید تا خطر قربانی شدن در حملات فیشینگ را به حداقل برسانید.

Newer اعتبار M11 پس از توقف FTX-Spurred، وام های رمزنگاری شده را در Maple Finance از سر گرفت
Back to list
Older TRON افزایش تعداد کاربران را ثبت می کند، اما در اینجا جای تفکر وجود دارد

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

For security, use of Google's reCAPTCHA service is required which is subject to the Google Privacy Policy and Terms of Use.

I agree to these terms.