През последните няколко години злонамерените разширения на браузъра се превърнаха в често срещано явление, като хакерите ги използват за кражба на лична информация или парични средства. Сега изследователите по киберсигурност от Trustwave SpiderLabs са открили нова разновидност на зловреден софтуер, който е насочен към портфейли за криптовалути. Наречен Rilide, този зловреден софтуер се представя за разширение на Google Drive за браузъри, базирани на Chromium, и ако бъде инсталиран, може да следи историята на сърфиране на жертвата, да заснема скрийншоти и дори да инжектира злонамерени скриптове за изтегляне на пари от борси за криптовалути.

Как работи Rilide?

След като Rilide бъде инсталиран, той стартира скрипт, който следи действията на жертвата, например когато тя превключва табовете, получава уеб съдържание или страниците приключват зареждането си. Така че, ако текущият сайт съвпада със списъка с цели, наличен от сървъра за командване и контрол, разширението зарежда допълнителни скриптове, които могат да откраднат информация, свързана с криптовалути, идентификационни данни за имейл акаунти и др. Освен това разширението деактивира и "Политиката за сигурност на съдържанието" на целевите уебсайтове, която защитава потребителите от крос-сайт скриптови атаки, като блокира инсталирането на външни ресурси.

От Trustwave твърдят, че са открили две отделни кампании, които са разпространявали зловредния софтуер. Едната кампания е използвала Google Ads и Aurora Stealer, за да зареди разширението чрез Rust loader, докато другата е използвала троянеца за отдалечен достъп (RAT) Ekipa, за да разпространи зловредния софтуер.

Това, което отличава Rilide, е начинът, по който използва "фалшиви диалози", за да подмами потребителите да предадат своите ключове за многофакторно удостоверяване. Ето защо, когато зловредният софтуер открие, че потребителят има сметка за обмен на криптовалута, той се опитва да направи заявка за теглене във фонов режим, като същевременно представя фалшив диалог за удостоверяване на устройството, за да получи кода за 2FA. Разширението също така замества потвържденията на имейли с искания за оторизация на устройство, като по този начин подвежда потребителя да предостави кода за оторизация.

За да намалите риска да станете жертва на зловреден софтуер като Rilide, е изключително важно да инсталирате софтуер само от надеждни източници и да преглеждате и редовно да деинсталирате всички ненужни разширения. Освен това потребителите трябва да поддържат браузъра и операционната си система в актуално състояние с най-новите пачове за сигурност и да използват надежден антивирусен софтуер.

Снимка: Unsplash

Виж още: Android приложение от Китай стартира 0-day експлойт на милиони устройства