Pesquisadores de segurança cibernética descobriram uma nova versão do malware chamado Rilide, que tem como alvo navegadores na web baseados em Chromium para roubar dados sensíveis e criptomoedas.
"Ele apresenta um nível superior de sofisticação através de um design modular, ofuscação de código, adaptação ao Manifesto da Extensão do Chrome V3 e recursos adicionais, como a capacidade de extrair dados roubados para um canal do Telegram ou capturas de tela baseadas em intervalos", disse o pesquisador de segurança da Trustwave, Pawel Knapczyk, em um relatório compartilhado com o The Hacker News.
Rilide foi documentado pela primeira vez pela empresa de segurança cibernética em abril de 2023, descobrindo duas cadeias de ataques diferentes que utilizaram Ekipa RAT e Aurora Stealer para implantar extensões de navegador indevidas capazes de roubar dados e criptomoedas.
Ele está sendo vendido em fóruns na dark web por um ator chamado "friezer" por 5.000 dólares.
O malware está equipado com uma ampla gama de recursos que permitem que ele desative outros complementos do navegador, colete histórico de navegação e cookies, colete credenciais de login, tire capturas de tela e injete scripts maliciosos para retirar fundos de várias exchanges de criptomoedas.
A versão atualizada também se sobrepõe a um malware rastreado por Trellix com o nome CookieGenesis, com a extensão agora fazendo uso do Manifesto da Extensão Chrome V3, uma mudança controversa da API introduzida pelo Google que visa restringir o amplo acesso concedido às extensões.
"Tendo a segurança em mente, uma das novas grandes melhorias é que as extensões não podem carregar código JavaScript remoto e executar strings arbitrárias", explicou Knapczyk.
"Especificamente, toda lógica deve ser incluída no pacote da extensão, permitindo assim o processo de revisão mais confiável e eficaz para as extensões enviadas à Chrome Web Store."
Isso levou a uma reformulação completa das capacidades fundamentais de Rilide, disse a Trustwave, acrescentando que o malware depende do uso de eventos inline para executar o código JavaScript malicioso.
Dois artefatos Rilide detectados foram encontrados para se passarem pelo aplicativo GlobalProtect da Palo Alto Networks, com o intuito de enganar usuários desavisados para instalar o malware como parte de três campanhas diferentes.
Um conjunto de ataques foi projetado para atingir usuários na Austrália e no Reino Unido.
Suspeita-se que os atores de ameaças usem páginas de destino falsas hospedando software legítimo de área de trabalho remota AnyDesk e empreguem táticas de vishing para orientar possíveis alvos a instalar o aplicativo e, posteriormente, utilizar o acesso remoto para implantar o malware.
Outra atualização significativa no modo de operação envolve o uso de um carregador PowerShell para modificar o arquivo de Preferências Seguras do navegador - que mantém o estado da experiência de navegação pessoal de um usuário - para iniciar o aplicativo com a extensão carregada permanentemente.
Uma análise mais aprofundada do domínio de comando e controle (C2) baseado nas informações do registrante mostra uma conexão com um grupo maior de sites, muitos dos quais foram observados servindo malware como Bumblebee, IcedID e Phorpiex.
Vale ressaltar que o código-fonte da extensão Rilide foi vazado em fevereiro de 2023, aumentando a possibilidade de que outros atores de ameaças, além do autor original, possam ter retomado os esforços de desenvolvimento.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...