Os especialistas da Trustwave SpiderLabs falaram sobre o novo malware Rilide, que rouba dados confidenciais e criptomoeda, segmentando navegadores Chromium.
Basicamente, Rilide máscaras como um legítimo Google Extensão de unidade.
Deixe-me lembrá-lo de que também escrevemos isso especialistas descobriram uma nova versão de malware de hackers russos LOLI Ladrão.
Além disso, o malware pode exibir caixas de diálogo falsas para forçar os usuários a inserir um código de autenticação de dois fatores para confirmar a transferência de ativos digitais.
Os analistas escrevem que imediatamente identificou duas campanhas diferentes envolvendo Equipe RAT e Ladrão Aurora, o que levou à instalação de uma extensão maliciosa. Se o Ekipa RAT for distribuído por meio de programas maliciosos Editor Microsoft arquivos, então o Aurora Stealer é distribuído principalmente por meio de anúncios fraudulentos no Google Ads.
Esquema de ataque
Ambas as cadeias de ataques levam à execução do Ferrugem carregador, que por sua vez modifica o arquivo LNK do navegador e usa –load-extension para iniciar a extensão.
Quem está por trás desses ataques ainda não está claro, mas os especialistas conseguiram encontrar uma postagem em um fórum de hackers feita em março 2022. Esta mensagem anunciava a venda de um botnet com funções semelhantes, e desde então, parte do código-fonte do malware foi divulgada ao público devido a uma disputa não resolvida sobre pagamento.
O relatório também observa que o C&Endereço C fornecido no código Rilide identificado GitHub repositórios de propriedade de um usuário com flor que contêm carregadores para a extensão maliciosa.
Os pesquisadores dizem que a próxima mudança para Manifesto v3, que define os recursos e limites para extensões, pode dificultar o trabalho dos invasores, mas é improvável que resolva completamente o problema, já que a maioria das funcionalidades usadas pelo Rilide ainda funcionará.
Último outono, Os desenvolvedores adiaram o lançamento do Manifest V3 para 2024, mas deve-se notar que outro dia a transição para o Manifest V3 foi novamente adiada. Desta vez, Os desenvolvedores do Google não fornecem os termos exatos, mas prometem que os criadores das extensões terão tempo suficiente para transitar – pelo menos seis meses.
