مرورگرهای مبتنی بر Chromium، هدف بدافزار جدید Rilide

مرورگرهای وب مبتنی بر Chromium هدف بدافزار جدیدی به نام Rilide قرار گرفته‌اند که خود را افزونه‌ای به‌ظاهر بی‌خطر نشان می‌دهد تا داده‌های حساس را گردآوری و رمزارز استخراج کند.

Trustwave SpiderLabs Research در گزارشی که The Hacker News منتشر کرد اذعان داشت: «بدافزار Rilide پشت نقاب افزونه‌ای بی‌خطر برای Google Drive مخفی می‌شود وعامل تهدید را قادر به انجام طیف گسترده‌ای از فعالیت‌های خرابکارانه می‌سازد، از جمله مانیتور کردن تاریخچه‌ی مرور، گرفتن اسکرین‌شات، و وارد کردن اسکریپت‌های مخرب به‌منظور برداشت وجه از تبادلات رمزارزی گوناگون»

به‌علاوه، این بدافزار سارق  با نشان دادن یک متن جعلی کاربران را فریب می‌دهد تا کد احراز هویت دومرحله‌ای را برای برداشت دارایی دیجیتال وارد نماید.

Trustwave اعلام کرد دو کمپین متفاوت با مشارکت Ekipa RAT و Aurora Stealer شناسایی کرده است که به نصب شدن افزونه‌ی مرورگر مخرب می‌انجامند. درحالی که Ekipa RAT از طریق فایل‌های تله‌گذاری‌شده‌ی Microsoft Publisher توزیع می‌شود، تبلیغات غیرمجاز گوگل به‌عنوان مسیر توزیع  Aurora Stealer عمل می‌کنند، تکنیکی که در ماه‌های اخیر رواج بسیار پیدا کرده است.

هردوی این زنجیره‌های حمله، اجرای یک بارگذار مبتنی بر Rust را تسهیل می‌کنند که به‌نوبه‌ی خود فایل میانبر LNK مرورگر را دستکاری کرده و از سوئیچ خط دستور “—load-extension” برای راه‌اندازی افزونه استفاده می‌کند.

سرمنشأ دقیق Rilide مشخص نیست، اما Trustwave اعلام کرده که پستی مربوط به مارس ۲۰۲۲ در یک انجمن زیرزمینی پیدا کرده است که در آن یک عامل تهدید فروش یک بات‌نت با عملکردهای مشابه را تبلیغ می‌کرده است. از آن زمان بخشی از کد منبع این بدافزار به انجمن‌ها راه پیدا کرده که به‌نظر در پی نزاعی حل نشده بر سر پرداخت رخ داده است.

بیشتر بدانید: بات‌نت چیست و چگونه در حملات سایبری از آن استفاده می‌شود؟

یکی از ویژگی‌های قابل توجه در کد منبع نشت کرده، توانایی معاوضه‌ی آدرس کیف پول رمز ارز موجود در Clipboard با آدرسی تحت کنترل عامل تهدید است که در آن نمونه تثبیت‌شده و غیرقابل تغییر است. به‌علاوه، یک آدرس صدور و کنترل (C2) که در کد Rilide تعیین شده است، شناسایی چندین خزانه‌ی GitHub متعلق به کاربری به نام Gulantin را ممکن ساخته که شامل بارگذارهای افزونه است. GitHub حساب کاربری نام‌برده را مسدود کرده است.

به‌گفته‌ی Trustwave: «سارق Rilide مثالی بارز از پیچیدگی روزافزون افزونه‌های مرورگر مخرب و خطراتی است که ایجاد می‌کنند».

«درحالی که اجرای Manifest v3 در آینده‌ی نزدیک ممکن است کار عاملان تهدید را دشوارتر کند، احتمال اینکه مشکل را کاملاً حل کند کم است، چراکه بیشتر عملکردهایی که Rilide از آن‌ها سوءاستفاده می‌کند همچنان در دسترس خواهند بود»

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

Start typing to see posts you are looking for.

برای آگاهی از آخرین مطالب، اخبار آسیب‌پذیری و رویدادهای تخصصی، آدرس ایمیل و شماره موبایل خود را وارد نمایید.

دانلود کاتالوگ