Voleur de Rilide
Une menace malveillante jusque-là inconnue nommée Rilide Stealer a été découverte ciblant les navigateurs Web basés sur le moteur Chromium. Le logiciel malveillant est conçu pour tromper les utilisateurs en se faisant passer pour une extension légitime de Google Drive. Cependant, une fois installé, il peut effectuer diverses activités malveillantes, notamment surveiller l'historique de navigation d'un utilisateur, prendre des captures d'écran et injecter des scripts nuisibles.
Le Rilide Stealer est également capable de voler des données sensibles et de siphonner la crypto-monnaie de divers échanges cryptographiques. Rilide est équipé de la capacité d'afficher de fausses invites qui incitent les utilisateurs à saisir un code d'authentification à deux facteurs. En conséquence, le malware devient capable de retirer des actifs numériques du compte de la victime. Cela fait de Rilide une menace importante pour quiconque utilise un navigateur Web basé sur Chromium. Des détails sur Rilide Stealer et ses campagnes d'attaque ont été rendus publics dans un rapport des chercheurs de Trustwave SpiderLabs Research.
Table des matières
Deux campagnes d'attaque différentes déploient le Rilide Stealer
Selon les découvertes annoncées, deux attaques distinctes ont été découvertes - l'une utilisant Ekipa RAT tandis que l'autre a utilisé Aurora Stealer pour installer le malware Rilide se faisant passer pour une extension de navigateur. Ekipa RAT se propage via des fichiers Microsoft Publisher qui ont été falsifiés, tandis qu'Aurora Stealer utilise des Google Ads voyous pour se distribuer, une tactique qui a gagné en popularité parmi les cybercriminels. Les deux chaînes d'attaque permettent d'exécuter un chargeur basé sur Rust. Après avoir été activé, il modifie ensuite le fichier de raccourci LNK du navigateur et, en utilisant la ligne de commande "--load-extension", lance le module complémentaire du navigateur.
Le Rilide Stealer est capable d'effectuer un retrait automatique de crypto-monnaie
Rilide Stealer est équipé d'une fonction de retrait automatique des échanges de crypto-monnaie. Pendant que cette fonction fonctionne en arrière-plan, l'utilisateur voit une boîte de dialogue d'authentification de périphérique falsifiée, qui imite une fonction de sécurité légitime couramment utilisée, afin d'obtenir le code 2FA (authentification à deux facteurs). Ce code est une mesure de sécurité utilisée pour confirmer l'identité de l'utilisateur et approuver la demande de retrait.
De plus, Rilide a la possibilité de remplacer les confirmations par e-mail envoyées par l'échange, qui informent l'utilisateur de la demande de retrait. Si l'utilisateur entre son compte de messagerie en utilisant le même navigateur Web, ces confirmations sont remplacées à la volée. L'e-mail de confirmation de la demande de retrait est remplacé par une demande d'autorisation de l'appareil, incitant l'utilisateur à fournir le code d'autorisation. En conséquence, l'attaquant peut ignorer les mesures de sécurité mises en place par l'échange et voler des fonds sur le compte de l'utilisateur.
Les cybercriminels continuent de développer des menaces sophistiquées
Le voleur Rilide est un exemple de la sophistication croissante des extensions de navigateur malveillantes. Rilide se déguise en extension légitime de Google Drive, mais est en fait un outil utilisé par les acteurs de la menace pour mener à bien un large éventail d'activités malveillantes. Ces activités incluent la prise de captures d'écran, l'espionnage de l'historique de navigation des victimes et l'injection de scripts malveillants pour voler des fonds sur les échanges de crypto-monnaie.
Soyez vigilant et faites preuve de prudence lorsque vous traitez des courriels ou des messages non sollicités. Pour réduire le risque d'être victime d'attaques de phishing, il est également primordial d'être informé et éduqué sur les dernières menaces de cybersécurité et les meilleures pratiques pour les arrêter. En se tenant au courant des derniers développements en matière de cybersécurité, les individus peuvent prendre des mesures proactives pour protéger leurs informations personnelles et se prémunir contre les attaques potentielles.
