Search
Menu

مرورگرهای مبتنی بر Chromium، هدف بدافزار جدید Rilide

مرورگرهای وب مبتنی بر Chromium هدف بدافزار جدیدی به نام Rilide قرار گرفته‌اند که خود را افزونه‌ای به‌ظاهر بی‌خطر نشان می‌دهد تا داده‌های حساس را گردآوری و رمزارز استخراج کند.

Trustwave SpiderLabs Research در گزارشی که The Hacker News منتشر کرد اذعان داشت: «بدافزار Rilide پشت نقاب افزونه‌ای بی‌خطر برای Google Drive مخفی می‌شود وعامل تهدید را قادر به انجام طیف گسترده‌ای از فعالیت‌های خرابکارانه می‌سازد، از جمله مانیتور کردن تاریخچه‌ی مرور، گرفتن اسکرین‌شات، و وارد کردن اسکریپت‌های مخرب به‌منظور برداشت وجه از تبادلات رمزارزی گوناگون»

به‌علاوه، این بدافزار سارق  با نشان دادن یک متن جعلی کاربران را فریب می‌دهد تا کد احراز هویت دومرحله‌ای را برای برداشت دارایی دیجیتال وارد نماید.

Trustwave اعلام کرد دو کمپین متفاوت با مشارکت Ekipa RAT و Aurora Stealer شناسایی کرده است که به نصب شدن افزونه‌ی مرورگر مخرب می‌انجامند. درحالی که Ekipa RAT از طریق فایل‌های تله‌گذاری‌شده‌ی Microsoft Publisher توزیع می‌شود، تبلیغات غیرمجاز گوگل به‌عنوان مسیر توزیع  Aurora Stealer عمل می‌کنند، تکنیکی که در ماه‌های اخیر رواج بسیار پیدا کرده است.

هردوی این زنجیره‌های حمله، اجرای یک بارگذار مبتنی بر Rust را تسهیل می‌کنند که به‌نوبه‌ی خود فایل میانبر LNK مرورگر را دستکاری کرده و از سوئیچ خط دستور “—load-extension” برای راه‌اندازی افزونه استفاده می‌کند.

سرمنشأ دقیق Rilide مشخص نیست، اما Trustwave اعلام کرده که پستی مربوط به مارس ۲۰۲۲ در یک انجمن زیرزمینی پیدا کرده است که در آن یک عامل تهدید فروش یک بات‌نت با عملکردهای مشابه را تبلیغ می‌کرده است. از آن زمان بخشی از کد منبع این بدافزار به انجمن‌ها راه پیدا کرده که به‌نظر در پی نزاعی حل نشده بر سر پرداخت رخ داده است.

بیشتر بدانید: بات‌نت چیست و چگونه در حملات سایبری از آن استفاده می‌شود؟

یکی از ویژگی‌های قابل توجه در کد منبع نشت کرده، توانایی معاوضه‌ی آدرس کیف پول رمز ارز موجود در Clipboard با آدرسی تحت کنترل عامل تهدید است که در آن نمونه تثبیت‌شده و غیرقابل تغییر است. به‌علاوه، یک آدرس صدور و کنترل (C2) که در کد Rilide تعیین شده است، شناسایی چندین خزانه‌ی GitHub متعلق به کاربری به نام Gulantin را ممکن ساخته که شامل بارگذارهای افزونه است. GitHub حساب کاربری نام‌برده را مسدود کرده است.

به‌گفته‌ی Trustwave: «سارق Rilide مثالی بارز از پیچیدگی روزافزون افزونه‌های مرورگر مخرب و خطراتی است که ایجاد می‌کنند».

«درحالی که اجرای Manifest v3 در آینده‌ی نزدیک ممکن است کار عاملان تهدید را دشوارتر کند، احتمال اینکه مشکل را کاملاً حل کند کم است، چراکه بیشتر عملکردهایی که Rilide از آن‌ها سوءاستفاده می‌کند همچنان در دسترس خواهند بود»

کاتالوگ امن پردازان کویر
گزارش امنیتی
ایمیل خود را وارد کنید و عضو خبرنامه شوید.

آخرین اخبار

مقالات سایت

درباره شرکت

محصولات

خدمات

مقالات و منابع

ایمیل خود را وارد کنید تا از آخرین اخبار دنیای امنیت مطلع گردید.

تماس با ما
Telegram-plane Instagram Linkedin Eaparat

Info@apk-group.net

۴۲۲۷۳ - ۰۲۱

۳۶۲۹۰۹۹۰ - ۰۳۵

۴۵۸۱۲۳۹۶ (۰۲۱)

۳۶۲۹۰۹۹۲ (۰۳۵)

تهران - خیابان شهید بهشتی، خیابان صابونچی، کوچه ادایی، پلاک ۲، طبقه اول

یزد - خیابان شهید دکتر چمران، روبـروی کارخانه درخشان

تمامی حقوق وبسایت متعلق به شرکت امن‌پردازان کویر (APK) است.

Start typing to see posts you are looking for.

جهت ثبت درخواست همین حالا فرم را تکمیل نمایید.

با تکمیل فرم و ارسال درخواست خود، همکاران و کارشناسان ما در اسرع وقت با شما تماس خواهند گرفت.

جهت دانلود کاتالوگ شرکت همین حالا فرم را تکمیل نمایید.

جهت دانلود گزارش امنیتی 2023 همین حالا فرم را تکمیل نمایید.

در دنیای امنیت چه خبر؟
جهت دریافت آخرین اخبار دنیای امنیت شبکه و اطلاعات ایمیل خود را وارد کنید.