مرورگرهای وب مبتنی بر Chromium هدف بدافزار جدیدی به نام Rilide قرار گرفتهاند که خود را افزونهای بهظاهر بیخطر نشان میدهد تا دادههای حساس را گردآوری و رمزارز استخراج کند.
Trustwave SpiderLabs Research در گزارشی که The Hacker News منتشر کرد اذعان داشت: «بدافزار Rilide پشت نقاب افزونهای بیخطر برای Google Drive مخفی میشود وعامل تهدید را قادر به انجام طیف گستردهای از فعالیتهای خرابکارانه میسازد، از جمله مانیتور کردن تاریخچهی مرور، گرفتن اسکرینشات، و وارد کردن اسکریپتهای مخرب بهمنظور برداشت وجه از تبادلات رمزارزی گوناگون»
بهعلاوه، این بدافزار سارق با نشان دادن یک متن جعلی کاربران را فریب میدهد تا کد احراز هویت دومرحلهای را برای برداشت دارایی دیجیتال وارد نماید.
Trustwave اعلام کرد دو کمپین متفاوت با مشارکت Ekipa RAT و Aurora Stealer شناسایی کرده است که به نصب شدن افزونهی مرورگر مخرب میانجامند. درحالی که Ekipa RAT از طریق فایلهای تلهگذاریشدهی Microsoft Publisher توزیع میشود، تبلیغات غیرمجاز گوگل بهعنوان مسیر توزیع Aurora Stealer عمل میکنند، تکنیکی که در ماههای اخیر رواج بسیار پیدا کرده است.
هردوی این زنجیرههای حمله، اجرای یک بارگذار مبتنی بر Rust را تسهیل میکنند که بهنوبهی خود فایل میانبر LNK مرورگر را دستکاری کرده و از سوئیچ خط دستور “—load-extension” برای راهاندازی افزونه استفاده میکند.
سرمنشأ دقیق Rilide مشخص نیست، اما Trustwave اعلام کرده که پستی مربوط به مارس ۲۰۲۲ در یک انجمن زیرزمینی پیدا کرده است که در آن یک عامل تهدید فروش یک باتنت با عملکردهای مشابه را تبلیغ میکرده است. از آن زمان بخشی از کد منبع این بدافزار به انجمنها راه پیدا کرده که بهنظر در پی نزاعی حل نشده بر سر پرداخت رخ داده است.
بیشتر بدانید: باتنت چیست و چگونه در حملات سایبری از آن استفاده میشود؟
یکی از ویژگیهای قابل توجه در کد منبع نشت کرده، توانایی معاوضهی آدرس کیف پول رمز ارز موجود در Clipboard با آدرسی تحت کنترل عامل تهدید است که در آن نمونه تثبیتشده و غیرقابل تغییر است. بهعلاوه، یک آدرس صدور و کنترل (C2) که در کد Rilide تعیین شده است، شناسایی چندین خزانهی GitHub متعلق به کاربری به نام Gulantin را ممکن ساخته که شامل بارگذارهای افزونه است. GitHub حساب کاربری نامبرده را مسدود کرده است.
بهگفتهی Trustwave: «سارق Rilide مثالی بارز از پیچیدگی روزافزون افزونههای مرورگر مخرب و خطراتی است که ایجاد میکنند».
«درحالی که اجرای Manifest v3 در آیندهی نزدیک ممکن است کار عاملان تهدید را دشوارتر کند، احتمال اینکه مشکل را کاملاً حل کند کم است، چراکه بیشتر عملکردهایی که Rilide از آنها سوءاستفاده میکند همچنان در دسترس خواهند بود»