Pesquisadores de segurança cibernética descobriram uma nova versão do malware chamado Rilide, que tem como alvo navegadores na web baseados em Chromium para roubar dados sensíveis e criptomoedas.
"Ele apresenta um nível superior de sofisticação através de um design modular, ofuscação de código, adaptação ao Manifesto da Extensão do Chrome V3 e recursos adicionais, como a capacidade de extrair dados roubados para um canal do Telegram ou capturas de tela baseadas em intervalos", disse o pesquisador de segurança da Trustwave, Pawel Knapczyk, em um relatório compartilhado com o The Hacker News.
Rilide foi documentado pela primeira vez pela empresa de segurança cibernética em abril de 2023, descobrindo duas cadeias de ataques diferentes que utilizaram Ekipa RAT e Aurora Stealer para implantar extensões de navegador indevidas capazes de roubar dados e criptomoedas.
Ele está sendo vendido em fóruns na dark web por um ator chamado "friezer" por 5.000 dólares.
O malware está equipado com uma ampla gama de recursos que permitem que ele desative outros complementos do navegador, colete histórico de navegação e cookies, colete credenciais de login, tire capturas de tela e injete scripts maliciosos para retirar fundos de várias exchanges de criptomoedas.
A versão atualizada também se sobrepõe a um malware rastreado por Trellix com o nome CookieGenesis, com a extensão agora fazendo uso do Manifesto da Extensão Chrome V3, uma mudança controversa da API introduzida pelo Google que visa restringir o amplo acesso concedido às extensões.
"Tendo a segurança em mente, uma das novas grandes melhorias é que as extensões não podem carregar código JavaScript remoto e executar strings arbitrárias", explicou Knapczyk.
"Especificamente, toda lógica deve ser incluída no pacote da extensão, permitindo assim o processo de revisão mais confiável e eficaz para as extensões enviadas à Chrome Web Store."
Isso levou a uma reformulação completa das capacidades fundamentais de Rilide, disse a Trustwave, acrescentando que o malware depende do uso de eventos inline para executar o código JavaScript malicioso.
Dois artefatos Rilide detectados foram encontrados para se passarem pelo aplicativo GlobalProtect da Palo Alto Networks, com o intuito de enganar usuários desavisados para instalar o malware como parte de três campanhas diferentes.
Um conjunto de ataques foi projetado para atingir usuários na Austrália e no Reino Unido.
Suspeita-se que os atores de ameaças usem páginas de destino falsas hospedando software legítimo de área de trabalho remota AnyDesk e empreguem táticas de vishing para orientar possíveis alvos a instalar o aplicativo e, posteriormente, utilizar o acesso remoto para implantar o malware.
Outra atualização significativa no modo de operação envolve o uso de um carregador PowerShell para modificar o arquivo de Preferências Seguras do navegador - que mantém o estado da experiência de navegação pessoal de um usuário - para iniciar o aplicativo com a extensão carregada permanentemente.
Uma análise mais aprofundada do domínio de comando e controle (C2) baseado nas informações do registrante mostra uma conexão com um grupo maior de sites, muitos dos quais foram observados servindo malware como Bumblebee, IcedID e Phorpiex.
Vale ressaltar que o código-fonte da extensão Rilide foi vazado em fevereiro de 2023, aumentando a possibilidade de que outros atores de ameaças, além do autor original, possam ter retomado os esforços de desenvolvimento.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...