Rilide krade MFA kodove

AUTOR ·

Rilide krade MFA kodove iz Internet pregledača baziranih na projektu Chromium.

Rilide

Rilide krade MFA kodove; Dizajn: Saša Đurić

Zlonamjerni dodatak Rilide

Sigurnosni istraživači su otkrili novi zlonamjerni dodatka za Internet pretraživače nazvan Rilide, koji cilja Internet pregledače bazirane na projektu Chromium, kao što su Google Chrome, Brave, Opera i Microsoft Edge.

Zlonamjerni dodatka oponaša legitimni Google Drive dodatak, dok u pozadini onemogućava polisu politike bezbjednosti sadržaja (eng. Content Security Policy – CSP), prikuplja sistemske informacije, preuzima istoriju pretraživanja, pravi snimke ekrana i vrši ubacivanje zlonamjernog kôda.

Cilj napadača je da dobiju pristup nalozima elektronske pošte servisa kao što su Outlook, Yahoo i Google, upotrebom lažnih potvrda preko elektronske pošte i kripto nalozima kao što su Kraken, Bitget, Coinbase i slično, tako što će prikazati lažne zahtjeve za provjeru identiteta u više koraka (eng. multi-factor authentication MFA).

 

Rilide kripto skripte za razmjenu podržavaju funkciju automatskog povlačenja. Dok se zahtev za povlačenje vrši u pozadini, korisniku se prikazuje lažni dijalog za autentifikaciju uređaja kako bi dobio 2FA. Potvrde elektronske pošte se takođe zamjenjuju u hodu ako korisnik uđe u poštansko sanduče koristeći isti Internet pregledač. Elektronska pošta sa zahtjevom za povlačenje zamjenjuje se zahtevom za autorizaciju uređaja koji obmanjuje korisnika da pruži šifru za autorizaciju.

Sigurnosni istraživači Pawel Knapczyk i Wojciech Cieslak

 

Distribucija

Primijećeno je da se distribucija ove zlonamjernog dodatka vrši u dvije odvojene kampanje. U jednoj kampanji se zloupotrebljavaju Google reklame u kombinaciji sa Aurora kradljivcem informacija kako bi se zlonamjerni dodatak instalirao korištenjem programa za učitavanje baziranog na programskom jeziku Rust. U drugoj kampanji distribucija zlonamjernog dodatka se vrši preko zlonamjernog alata za daljinski pristup (eng. remote access trojan – RAT) pod nazivom Ekipa.

Trenutno je porijeklo zlonamjernog softvera nepoznato, međutim sigurnosni istraživači su pronašli preklapanje kôda sa sličnim dodacima koji se prodaju među zlonamjernim akterima, a dio kôda je procurio i na hakerskim forumima zbog nesuglasica oko neriješenog plaćanja.

 

Proces zloupotrebe

Program za učitavanje zlonamjernog dodatka Rilide vrši izmjenu prečica Internet pregledača kako bi automatski pokretali zlonamjerni dodatak na inficiranom sistemu.

Kada se pokrene, Rilide pokreće skriptu za aktivaciju modula za nadzor koji prati kada korisnik mijenja kartice u Internet pregledaču, prima sadržaj sa Interneta ili završava učitavanje Internet stranice. Uz to vrši provjeru da li se trenutna lokacija nalazi na listi ciljanih meta koji su definisani na komandom serveru. Ako postoji podudaranje, dolazi do učitavanje dodatnih skripti koje se ubacuju u kôd Internet stranice kako bi se izvršila krađa informacija koje se odnose na kriptovalute i pristupne podatke za elektronsku poštu.

Pored toga, mogućnost  Rilide zlonamjernog dodatka da onemogućava polisu politike bezbjednosti sadržaja (eng. Content Security Policy – CSP), što omogućava izvršavanje napada skriptovanje na više lokacija (eng. cross-site scripting – XSS) kako bi se slobodno učitavali spoljni resursi koje bi Internet pretraživač inače blokirao. Tu su još i opcije  preuzimanja istorije pretraživanja i snimanje ekrana.

 

Zaobilaženje provjere identiteta u dva koraka (2FA)

Zanimljiva mogućnost Rilide zlonamjernog dodatka je njegov sistem zaobilaženja 2FA, koji koristi lažne dijaloge da bi prevario žrtve da unesu svoje privremene kôdove. Sistem se aktivira kada žrtva pokrene zahtev za povlačenje kriptovalute servisu za razmjenu koji se nalazi na listi ove zlonamjerne ekstenzije. Tačno i pravom trenutku zlonamjerni dodatak ubacuje skriptu u pozadinu  i  automatski obradi zahtev. Kada korisnik unese svoj kôd u lažni dijalog, Rilide ga koristi da završi proces povlačenja na adresu novčanika napadača.

 

Zaključak

Rilide zlonamjerni dodatak je odličan primjer sve veće sofisticiranosti zlonamjernih dodatka za Internet pregledače i opasnosti koje predstavljaju.

Zbog preopterećenosti informacijama koje mogu umanjiti sposobnost korisnika da tačno protumače činjenice, ovakvi napadi čine korisnike podložim pokušajima krađe identiteta. Važno je da korisnici budu oprezni i sumnjičavi prema neočekivanoj elektronskoj pošti ili porukama i da nikad ne pretpostavljaju da je neki sadržaj na Internetu bezbjedan, čak iako se čini da jeste.

Za kraj, važno je da su korisnici informisani i upućeni o osnovima funkcionisanja najnovijih prijetnji u kibernetičkom prostoru i najboljim praksama u njihovom sprečavanju kako bi se umanjila mogućnost infekcije korisničkih uređaja.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.