Нова шкідлива програма атакує крипто-гаманці через розширення браузера

За останні кілька років шкідливі розширення браузера стали звичним явищем, і хакери використовують їх для викрадення особистої інформації або грошей. Тепер дослідники кібербезпеки з Trustwave SpiderLabs виявили новий штам шкідливого програмного забезпечення, націленого на криптовалютні гаманці.

Це зловмисне програмне забезпечення під назвою Rilide представляє собою розширення Google Drive для браузерів на основі Chromium і, якщо його встановити, може відстежувати історію веб-перегляду жертви, робити знімки екрана та навіть вводити шкідливі сценарії для виведення грошей з фондових бірж.

Після встановлення Rilide запускається сценарій, який відстежує дії жертви, наприклад коли жертва перемикає вкладки, отримує веб-контент або завершує завантаження сторінок.

Отже, якщо поточний сайт відповідає списку цілей, доступних на сервері керування та керування, розширення завантажує додаткові сценарії, які можуть викрасти інформацію, пов’язану з криптовалютами, обліковими даними електронної пошти тощо.

Крім того, розширення також вимикає «Політику безпеки вмісту» цільових веб-сайтів,

яка захищає користувачів від атак міжсайтових сценаріїв, блокуючи встановлення зовнішніх ресурсів.

True News: Бичачий сигнал NUPL: біткоїн готується до росту

Trustwave стверджує, що виявив дві окремі кампанії, які поширювали зловмисне програмне забезпечення. Одна кампанія використовувала Google Ads і Aurora Stealer для завантаження розширення через завантажувач Rust, а інша використовувала трояна Team Remote Access Trojan (RAT) для поширення шкідливого програмного забезпечення.

Rilide відрізняє те, як він використовує «фальшиві діалоги», щоб обманом змусити користувачів передати свої ключі багатофакторної автентифікації.

Таким чином, коли зловмисне програмне забезпечення виявляє, що користувач має обліковий запис криптовалютної біржі, воно намагається зробити запит на виведення коштів у фоновому режимі, показуючи підроблене діалогове вікно автентифікації пристрою для отримання коду 2FA.

Розширення також замінює підтвердження електронною поштою запитами на авторизацію пристрою, таким чином обманом змушуючи користувача надати код авторизації.

Щоб зменшити ризик стати жертвою зловмисного програмного забезпечення, такого як Rilide, надзвичайно важливо встановлювати програмне забезпечення лише з надійних джерел, а також переглядати та регулярно видаляти всі непотрібні розширення.

Крім того, користувачі повинні постійно оновлювати свій браузер і операційну систему за допомогою останніх виправлень безпеки та використовувати надійне антивірусне програмне забезпечення.