Navegadores da web baseados em Chromium são o alvo de um novo malware chamado Rilide, que se disfarça como uma extensão aparentemente legítima para coletar dados sensíveis e roubar criptomoedas.
"O malware Rilide se disfarça como uma extensão legítima do Google Drive e permite que os atores ameaçadores realizem uma ampla gama de atividades maliciosas, incluindo monitorar o histórico de navegação, tirar capturas de tela e injetar scripts maliciosos para retirar fundos de várias trocas de criptomoedas", disse a Trustwave SpiderLabs Research em um relatório compartilhado com o The Hacker News.
Além disso, o malware Stealer pode exibir diálogos falsos para enganar os usuários a inserir um código de autenticação de dois fatores para retirar ativos digitais.
A Trustwave disse ter identificado duas campanhas diferentes envolvendo o Ekipa RAT e o Aurora Stealer que levaram à instalação da extensão do navegador malicioso.
Enquanto o Ekipa RAT é distribuído por meio de arquivos do Microsoft Publisher, anúncios do Google falsos atuam como vetor de entrega para o Aurora Stealer - uma técnica que se tornou cada vez mais comum nos últimos meses.
Ambas as cadeias de ataque facilitam a execução de um carregador baseado em Rust que, por sua vez, modifica o arquivo de atalho LNK do navegador e usa o comando de linha "--load-extension" para lançar o complemento.
As origens exatas do Rilide são desconhecidas, mas a Trustwave disse ter conseguido encontrar uma postagem em um fórum underground feita em março de 2022 por um ator ameaçador anunciando a venda de um botnet com funcionalidades semelhantes.
Uma parte do código-fonte do malware acabou sendo disponibilizada nos fóruns após o que parece ser uma disputa de pagamento não resolvida.
Uma característica notável implementada no código-fonte vazado é a capacidade de trocar endereços de carteira de criptomoedas na área de transferência por um endereço controlado pelo ator codificado no exemplo.
Além disso, um endereço de controle de comando (C2) especificado no código Rilide tornou possível identificar vários repositórios do GitHub pertencentes a um usuário chamado gulantin que contém carregadores para a extensão.
O GitHub removeu a conta em questão.
"O roubo Rilide é um exemplo primordial do aumento da sofisticação das extensões maliciosas do navegador e dos perigos que representam", concluiu a Trustwave.
"Embora a próxima aplicação do manifesto v3 possa tornar mais desafiador para os atores ameaçadores operarem, é improvável que resolva totalmente o problema, já que a maioria das funcionalidades aproveitadas pelo Rilide ainda estará disponível."
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...