Pesquisadores de segurança descobriram uma nova extensão maliciosa para navegadores chamada Rilide, que tem como alvos produtos baseados em Chromium como Google Chrome, Brave, Opera e Microsoft Edge.
O malware é projetado para monitorar a atividade do navegador, tirar capturas de tela e roubar criptomoedas através de scripts injetados em páginas da web.
Pesquisadores da Trustwave SpiderLabs descobriram que o Rilide imitava extensões benignas do Google Drive para se esconder à vista enquanto abusava das funcionalidades integradas do Chrome.
A empresa de cibersegurança detectou duas campanhas distintas que distribuíram o Rilide.
Uma usou anúncios do Google e o Aurora Stealer para carregar a extensão usando um carregador Rust.
A outra distribuiu a extensão maliciosa usando o trojan de acesso remoto Ekipa (RAT).
Embora a origem do malware seja desconhecida, a Trustwave relata que ele tem sobreposições com extensões similares vendidas para criminosos cibernéticos.
Ao mesmo tempo, partes de seu código foram recentemente vazadas em um fórum clandestino devido a uma disputa entre criminosos cibernéticos por pagamento não resolvido.
O carregador do Rilide modifica os arquivos de atalho do navegador da web para automatizar a execução da extensão maliciosa que é instalada no sistema comprometido.
Ao ser executado, o malware executa um script para anexar um ouvinte que monitora quando a vítima troca de guias, recebe conteúdo da web ou as páginas da web terminam de carregar.
Ele também verifica se o site atual corresponde a uma lista de alvos disponíveis do servidor de comando e controle (C2).
Se houver uma correspondência, a extensão carrega scripts adicionais injetados na página da web para roubar da vítima informações relacionadas a criptomoedas, credenciais de conta de e-mail, etc.
A extensão também desativa a "Política de segurança do conteúdo", uma funcionalidade de segurança projetada para proteger contra ataques de script cruzado (XSS), para carregar livremente recursos externos que o navegador normalmente bloquearia.
Além do acima, a extensão regularmente exfiltra o histórico de navegação e também pode capturas de tela e enviá-las para o C2.
Uma característica interessante do Rilide é seu sistema de bypass 2FA, que usa diálogos falsificados para enganar as vítimas a entrar em seus códigos temporários.
O sistema é ativado quando a vítima inicia um pedido de saque de criptomoedas para um serviço de troca que o Rilide tem como alvo.
O malware entra no momento certo para injetar o script em segundo plano e processar automaticamente o pedido.
Assim que o usuário insere seu código no diálogo falso, o Rilide o usa para concluir o processo de retirada para o endereço da carteira do ator ameaçador.
"As confirmações de e-mail também são substituídas no momento se o usuário acessar a caixa de correio usando o mesmo navegador da web", explica a Trustwave no relatório.
"O e-mail de solicitação de saque é substituído por uma solicitação de autorização de dispositivo, enganando o usuário a fornecer o código de autorização."
O Rilide mostra a crescente sofisticação de extensões maliciosas para navegadores que agora vêm com monitoramento ao vivo e sistemas automatizados de roubo de dinheiro.
Embora a implementação do Manifest v3 em todos os navegadores baseados em Chromium melhore a resistência contra extensões maliciosas, a Trustwave comenta que isso não eliminará o problema.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...