Hackers usam a extensão do navegador Rilide para burlar a autenticação de dois fatores (2FA) e roubar criptomoedas
10 de Abril de 2023

Pesquisadores de segurança descobriram uma nova extensão maliciosa para navegadores chamada Rilide, que tem como alvos produtos baseados em Chromium como Google Chrome, Brave, Opera e Microsoft Edge.

O malware é projetado para monitorar a atividade do navegador, tirar capturas de tela e roubar criptomoedas através de scripts injetados em páginas da web.

Pesquisadores da Trustwave SpiderLabs descobriram que o Rilide imitava extensões benignas do Google Drive para se esconder à vista enquanto abusava das funcionalidades integradas do Chrome.

A empresa de cibersegurança detectou duas campanhas distintas que distribuíram o Rilide.

Uma usou anúncios do Google e o Aurora Stealer para carregar a extensão usando um carregador Rust.

A outra distribuiu a extensão maliciosa usando o trojan de acesso remoto Ekipa (RAT).

Embora a origem do malware seja desconhecida, a Trustwave relata que ele tem sobreposições com extensões similares vendidas para criminosos cibernéticos.

Ao mesmo tempo, partes de seu código foram recentemente vazadas em um fórum clandestino devido a uma disputa entre criminosos cibernéticos por pagamento não resolvido.

O carregador do Rilide modifica os arquivos de atalho do navegador da web para automatizar a execução da extensão maliciosa que é instalada no sistema comprometido.

Ao ser executado, o malware executa um script para anexar um ouvinte que monitora quando a vítima troca de guias, recebe conteúdo da web ou as páginas da web terminam de carregar.

Ele também verifica se o site atual corresponde a uma lista de alvos disponíveis do servidor de comando e controle (C2).

Se houver uma correspondência, a extensão carrega scripts adicionais injetados na página da web para roubar da vítima informações relacionadas a criptomoedas, credenciais de conta de e-mail, etc.

A extensão também desativa a "Política de segurança do conteúdo", uma funcionalidade de segurança projetada para proteger contra ataques de script cruzado (XSS), para carregar livremente recursos externos que o navegador normalmente bloquearia.

Além do acima, a extensão regularmente exfiltra o histórico de navegação e também pode capturas de tela e enviá-las para o C2.

Uma característica interessante do Rilide é seu sistema de bypass 2FA, que usa diálogos falsificados para enganar as vítimas a entrar em seus códigos temporários.

O sistema é ativado quando a vítima inicia um pedido de saque de criptomoedas para um serviço de troca que o Rilide tem como alvo.

O malware entra no momento certo para injetar o script em segundo plano e processar automaticamente o pedido.

Assim que o usuário insere seu código no diálogo falso, o Rilide o usa para concluir o processo de retirada para o endereço da carteira do ator ameaçador.

"As confirmações de e-mail também são substituídas no momento se o usuário acessar a caixa de correio usando o mesmo navegador da web", explica a Trustwave no relatório.

"O e-mail de solicitação de saque é substituído por uma solicitação de autorização de dispositivo, enganando o usuário a fornecer o código de autorização."

O Rilide mostra a crescente sofisticação de extensões maliciosas para navegadores que agora vêm com monitoramento ao vivo e sistemas automatizados de roubo de dinheiro.

Embora a implementação do Manifest v3 em todos os navegadores baseados em Chromium melhore a resistência contra extensões maliciosas, a Trustwave comenta que isso não eliminará o problema.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...