Notícias de dispositivos móveis, gadgets, aplicativos Android

Uma nova extensão de navegador armada ignora a autenticação de dois fatores

Uma nova extensão de navegador armada ignora a autenticação de dois fatores. Uma nova cepa de malware conhecida pelos analistas de segurança cibernética da Trustwave SpiderLabs descobriu recentemente o Rilide.

Este novo malware foi projetado especificamente para atacar navegadores da web desenvolvidos na plataforma Chromium, incluindo:-

  • Google Chrome
  • Microsoft borda
  • Corajoso
  • √ďpera

Os pesquisadores do Trustwave SpiderLabs descobriram que o Rilide se disfarça como uma extensão legítima do Google Drive para evitar a detecção e aproveita os recursos inerentes do Chrome para fins maliciosos.

Habilidades de Rilide

Há uma infinidade de atividades maliciosas que podem ser realizadas por agentes de ameaças usando o malware Rilide, incluindo as seguintes:-

  • Monitorando o hist√≥rico de navega√ß√£o
  • Tirando capturas de tela
  • Injetando scripts maliciosos

O Trustwave SpiderLabs j√° encontrou outros casos de malware explorando extens√Ķes de navegador prejudiciais, e Rilide n√£o √© exce√ß√£o.

Campanhas maliciosas

A capacidade √ļnica do Rilide de explorar di√°logos falsificados √© o que o diferencia de outros malwares.

Essas caixas de di√°logo s√£o ent√£o usadas para induzir os usu√°rios a divulgar suas informa√ß√Ķes de autentica√ß√£o de dois fatores (2FA), que s√£o ent√£o utilizadas para roubar criptomoedas secretamente.

Duas campanhas maliciosas foram descobertas pelo SpiderLabs, projetadas para instalar a extensão do navegador Rilide no dispositivo da vítima.

Aqui abaixo, mencionamos campanhas: –

  • Campanha 1: Ekipa RAT Instalando Rilide Stealer
  • Campanha 2: Aurora Stealer abusando do Google Ads

Existem dois m√©todos para carregar a extens√£o por meio do carregador Rust: ‚Äď

  • Um √© feito por meio do Google Ads
  • Outro √© feito via Aurora Steale

Para distribuir a extens√£o maliciosa, um deles usa o Ekipa RAT. A Trustwave relata que h√° uma sobreposi√ß√£o entre o malware e extens√Ķes semelhantes vendidas aos cibercriminosos, embora a origem do malware seja desconhecida.

N√≥s recomendamos:  A linha TCL 10 inclui dois telefones para os EUA e o primeiro modelo 5G da marca

Além disso, algumas partes do seu código vazaram em um fórum clandestino após uma disputa sobre pagamento indevido de hackers que não foi resolvida.

Uma extens√£o como sanguessuga

Uma extens√£o maliciosa √© colocada no sistema comprometido pelo carregador do Rilide por meio de modifica√ß√Ķes nos arquivos de atalho do navegador da web.

Quando o malware √© executado, ele executa um script que anexa um ouvinte ao processo. Os atores da amea√ßa geralmente usam um ouvinte como esse para detectar quando uma v√≠tima alterna entre guias, recebe conte√ļdo de um site ou carrega uma p√°gina.

Além disso, o URL atual do site é verificado em relação à lista de alvos disponíveis no servidor C2 para determinar se corresponde.

A extens√£o carregar√° scripts adicionais quando uma correspond√™ncia for encontrada, que ser√° ent√£o injetada na p√°gina da web para roubar informa√ß√Ķes da v√≠tima. Embora os dados direcionados estejam principalmente relacionados a: –

  • Criptomoedas
  • Credenciais da conta de e-mail
  • Carteiras banc√°rias

A extens√£o maliciosa n√£o apenas ignora o recurso ‘Pol√≠tica de Seguran√ßa de Conte√ļdo’ (CSP) de um navegador da web para carregar recursos externos que geralmente s√£o bloqueados livremente, mas tamb√©m pode capturar capturas de tela e exfiltrar o hist√≥rico de navega√ß√£o e ent√£o transmiti-lo ao comando do invasor. servidor de controle (C2).

Ignorando 2FA

O sistema de falsificação de Rilide é acionado quando uma vítima tenta retirar criptomoeda de um serviço de exchange alvo de malware. Neste ponto, o script malicioso é injetado em segundo plano, permitindo que o malware processe a solicitação automaticamente.

Para completar o processo de retirada, Rilide utiliza o código inserido pelo usuário na caixa de diálogo falsa. Uma vez feito isso, o valor da retirada é automaticamente transferido para o endereço da carteira do autor da ameaça.

Se o usu√°rio acessar sua caixa de correio atrav√©s do mesmo navegador, Rilide substitui as confirma√ß√Ķes por e-mail, incluindo o e-mail de solicita√ß√£o de retirada, que √© substitu√≠do por uma solicita√ß√£o falsa de autoriza√ß√£o do dispositivo.

N√≥s recomendamos:  Halvor ‚Äď a pr√≥xima expedi√ß√£o do Google em 2024 depois do Pixelbook Go?

O avan√ßo do Rilide destaca a natureza cada vez mais sofisticada das extens√Ķes de navegador maliciosas, que agora apresentam monitoramento ao vivo e sistemas automatizados para roubo de dinheiro.

Embora a aplica√ß√£o do Manifesto v3 possa tornar a opera√ß√£o dos agentes de amea√ßas mais desafiadora, √© improv√°vel resolver totalmente o problema, uma vez que a maioria das fun√ß√Ķes do Rilide ainda estar√° acess√≠vel.

Leitura relacionada: