Kripto Para Birimi Çalmak İçin Krom Tabanlı Tarayıcıları Hedefleyen Yeni Rilide Kötü Amaçlı Yazılımı

Chromium tabanlı web tarayıcıları, hassas verileri toplamak ve kripto para birimini drain etmek için görünüşte meşru bir uzantı gibi görünen Rilide adlı yeni bir kötü amaçlı yazılımın hedefidir.

"Rilide kötü amaçlı yazılımı, meşru bir Google Drive uzantısı olarak gizlenir ve tehdit aktörlerinin izleme dahil olmak üzere geniş bir yelpazede kötü amaçlı faaliyetler yürütmesine olanak tanır.

Trustwave SpiderLabs Research, The Hacker News ile paylaşılan bir raporda, "geçmişe göz atma, ekran görüntüleri alma ve çeşitli kripto para birimi borsalarından para çekmek için kötü amaçlı komut dosyaları enjekte etmek" gibi izinlerinin olduğunu söyledi.

Dahası, hırsız kötü amaçlı yazılım, kullanıcıları dijital varlıkları geri çekmek için iki faktörlü bir kimlik doğrulama kodu girmeye ikna etmek için sahte diyaloglar görüntüleyebilir.

Trustwave , kötü amaçlı tarayıcı uzantısının yüklenmesine yol açan Ekipa RAT ve Aurora Stealer'ı içeren iki farklı kampanya belirlediğini söyledi .

Ekipa RAT, bubi tuzaklı Microsoft Publisher dosyaları aracılığıyla dağıtılırken, son aylarda giderek yaygınlaşan bir teknik olan Aurora Stealer için hileli Google Reklamları dağıtım vektörü görevi görüyor.

Her iki saldırı zinciri de, sırayla tarayıcının LNK kısayol dosyasını değiştiren ve eklentiyi başlatmak için "--load-extension" komut satırı anahtarını kullanan Rust tabanlı bir yükleyicinin yürütülmesini kolaylaştırır.

Rilide'ın kesin kaynağı bilinmiyor, ancak Trustwave, benzer işlevlere sahip bir botnet satışının reklamını yapan bir tehdit aktörü tarafından Mart 2022'de yapılmış bir yer altı forum gönderisi bulduğunu söyledi.

Kötü amaçlı yazılımın kaynak kodunun bir kısmı, çözümlenmemiş gibi görünen bir ödeme anlaşmazlığının ardından forumlara ulaştı.

Sızan kaynak kodunda uygulanan dikkate değer bir özellik, panodaki kripto para birimi cüzdan adreslerini, örnekte sabit kodlanmış aktör tarafından kontrol edilen bir adresle değiştirebilme yeteneğidir.

Ayrıca, Rilide kodunda belirtilen bir komut ve kontrol (C2) adresi, uzantı için yükleyiciler içeren guantin adlı bir kullanıcıya ait çeşitli GitHub depolarının tanımlanmasını mümkün kılmıştır.

Trustwave, "Rilide hırsızı, kötü amaçlı tarayıcı uzantılarının artan karmaşıklığının ve bunların oluşturduğu tehlikelerin en iyi örneğidir."

Manifest v3'ün yaklaşan uygulaması, tehdit aktörlerinin faaliyet göstermesini daha zor hale getirebilirken, Rilide tarafından kullanılan işlevlerin çoğu hala mevcut olacağından sorunu tamamen çözmesi pek olası değil."