Nova Versão do Malware de Roubo de Dados Rilide se Adapta à Extensão do Chrome Manifest V3
4 de Agosto de 2023

Pesquisadores de segurança cibernética descobriram uma nova versão do malware chamado Rilide, que tem como alvo navegadores na web baseados em Chromium para roubar dados sensíveis e criptomoedas.

"Ele apresenta um nível superior de sofisticação através de um design modular, ofuscação de código, adaptação ao Manifesto da Extensão do Chrome V3 e recursos adicionais, como a capacidade de extrair dados roubados para um canal do Telegram ou capturas de tela baseadas em intervalos", disse o pesquisador de segurança da Trustwave, Pawel Knapczyk, em um relatório compartilhado com o The Hacker News.

Rilide foi documentado pela primeira vez pela empresa de segurança cibernética em abril de 2023, descobrindo duas cadeias de ataques diferentes que utilizaram Ekipa RAT e Aurora Stealer para implantar extensões de navegador indevidas capazes de roubar dados e criptomoedas.

Ele está sendo vendido em fóruns na dark web por um ator chamado "friezer" por 5.000 dólares.

O malware está equipado com uma ampla gama de recursos que permitem que ele desative outros complementos do navegador, colete histórico de navegação e cookies, colete credenciais de login, tire capturas de tela e injete scripts maliciosos para retirar fundos de várias exchanges de criptomoedas.

A versão atualizada também se sobrepõe a um malware rastreado por Trellix com o nome CookieGenesis, com a extensão agora fazendo uso do Manifesto da Extensão Chrome V3, uma mudança controversa da API introduzida pelo Google que visa restringir o amplo acesso concedido às extensões.

"Tendo a segurança em mente, uma das novas grandes melhorias é que as extensões não podem carregar código JavaScript remoto e executar strings arbitrárias", explicou Knapczyk.

"Especificamente, toda lógica deve ser incluída no pacote da extensão, permitindo assim o processo de revisão mais confiável e eficaz para as extensões enviadas à Chrome Web Store."

Isso levou a uma reformulação completa das capacidades fundamentais de Rilide, disse a Trustwave, acrescentando que o malware depende do uso de eventos inline para executar o código JavaScript malicioso.

Dois artefatos Rilide detectados foram encontrados para se passarem pelo aplicativo GlobalProtect da Palo Alto Networks, com o intuito de enganar usuários desavisados para instalar o malware como parte de três campanhas diferentes.

Um conjunto de ataques foi projetado para atingir usuários na Austrália e no Reino Unido.

Suspeita-se que os atores de ameaças usem páginas de destino falsas hospedando software legítimo de área de trabalho remota AnyDesk e empreguem táticas de vishing para orientar possíveis alvos a instalar o aplicativo e, posteriormente, utilizar o acesso remoto para implantar o malware.

Outra atualização significativa no modo de operação envolve o uso de um carregador PowerShell para modificar o arquivo de Preferências Seguras do navegador - que mantém o estado da experiência de navegação pessoal de um usuário - para iniciar o aplicativo com a extensão carregada permanentemente.

Uma análise mais aprofundada do domínio de comando e controle (C2) baseado nas informações do registrante mostra uma conexão com um grupo maior de sites, muitos dos quais foram observados servindo malware como Bumblebee, IcedID e Phorpiex.

Vale ressaltar que o código-fonte da extensão Rilide foi vazado em fevereiro de 2023, aumentando a possibilidade de que outros atores de ameaças, além do autor original, possam ter retomado os esforços de desenvolvimento.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...