{"id":4622,"date":"2023-04-09T22:12:05","date_gmt":"2023-04-09T21:12:05","guid":{"rendered":"https:\/\/sajberinfo.com\/?p=4622"},"modified":"2023-04-09T22:12:05","modified_gmt":"2023-04-09T21:12:05","slug":"rilide-krade-mfa-kodove","status":"publish","type":"post","link":"https:\/\/sajberinfo.com\/en\/2023\/04\/09\/rilide-krade-mfa-kodove\/","title":{"rendered":"Rilide krade MFA kodove"},"content":{"rendered":"

Rilide<\/em> krade MFA<\/em> kodove iz Internet pregleda\u010da baziranih na projektu Chromium<\/em>.<\/span><\/p>\n

\"Rilide\"

Rilide krade MFA kodove; Dizajn: Sa\u0161a \u0110uri\u0107<\/em><\/p><\/div>\n

Zlonamjerni dodatak Rilide<\/em> <\/strong><\/span><\/h2>\n

Sigurnosni istra\u017eiva\u010di su otkrili novi zlonamjerni dodatka za Internet pretra\u017eiva\u010de nazvan Rilide<\/em>, koji cilja Internet pregleda\u010de bazirane na projektu Chromium<\/em>, kao \u0161to su Google<\/em> Chrome<\/em>, Brave<\/em>, Opera<\/em> i Microsoft<\/em> Edge<\/em>.<\/span><\/p>\n

Zlonamjerni dodatka opona\u0161a legitimni Google<\/em> Drive<\/em> dodatak, dok u pozadini onemogu\u0107ava polisu politike bezbjednosti sadr\u017eaja (eng. Content Security Policy \u2013 CSP<\/em>), prikuplja sistemske informacije, preuzima istoriju pretra\u017eivanja, pravi snimke ekrana i vr\u0161i ubacivanje zlonamjernog k\u00f4da.<\/span><\/p>\n

Cilj napada\u010da je da dobiju pristup nalozima elektronske po\u0161te servisa kao \u0161to su Outlook<\/em>, Yahoo<\/em> i Google<\/em>, upotrebom la\u017enih potvrda preko elektronske po\u0161te i kripto nalozima kao \u0161to su Kraken<\/em>, Bitget<\/em>, Coinbase<\/em> i sli\u010dno, tako \u0161to \u0107e prikazati la\u017ene zahtjeve za provjeru identiteta u vi\u0161e koraka (eng. multi-factor authentication MFA<\/em>).<\/span><\/p>\n

 <\/p>\n

\u201cRilide kripto skripte za razmjenu podr\u017eavaju funkciju automatskog povla\u010denja. Dok se zahtev za povla\u010denje vr\u0161i u pozadini, korisniku se prikazuje la\u017eni dijalog za autentifikaciju ure\u0111aja kako bi dobio 2FA. Potvrde elektronske po\u0161te se tako\u0111e zamjenjuju u hodu ako korisnik u\u0111e u po\u0161tansko sandu\u010de koriste\u0107i isti Internet pregleda\u010d. Elektronska po\u0161ta sa zahtjevom za povla\u010denje zamjenjuje se zahtevom za autorizaciju ure\u0111aja koji obmanjuje korisnika da pru\u017ei \u0161ifru za autorizaciju.<\/em>\u201d<\/span><\/p>\n

Sigurnosni istra\u017eiva\u010di Pawel Knapczyk i Wojciech Cieslak<\/a><\/em> –<\/span><\/p>\n<\/blockquote>\n

 <\/p>\n

Distribucija<\/strong><\/span><\/h3>\n

Primije\u0107eno je da se distribucija ove zlonamjernog dodatka vr\u0161i u dvije odvojene kampanje. U jednoj kampanji se zloupotrebljavaju Google<\/em> reklame u kombinaciji sa Aurora kradljivcem informacija<\/a> kako bi se zlonamjerni dodatak instalirao kori\u0161tenjem programa za u\u010ditavanje baziranog na programskom jeziku Rust<\/em>. U drugoj kampanji distribucija zlonamjernog dodatka se vr\u0161i preko zlonamjernog alata za daljinski pristup (eng. remote access trojan \u2013 RAT<\/em>) pod nazivom Ekipa.<\/em><\/span><\/p>\n

Trenutno je porijeklo zlonamjernog softvera nepoznato, me\u0111utim sigurnosni istra\u017eiva\u010di su prona\u0161li preklapanje k\u00f4da sa sli\u010dnim dodacima koji se prodaju me\u0111u zlonamjernim akterima, a dio k\u00f4da je procurio i na hakerskim forumima zbog nesuglasica oko nerije\u0161enog plac\u0301anja.<\/span><\/p>\n

 <\/p>\n

Proces zloupotrebe<\/strong><\/span><\/h4>\n

Program za u\u010ditavanje zlonamjernog dodatka Rilide<\/em> vr\u0161i izmjenu pre\u010dica Internet pregleda\u010da kako bi automatski pokretali zlonamjerni dodatak na inficiranom sistemu.<\/span><\/p>\n

Kada se pokrene, Rilide<\/em> pokre\u0107e skriptu za aktivaciju modula za nadzor koji prati kada korisnik mijenja kartice u Internet pregleda\u010du, prima sadr\u017eaj sa Interneta ili zavr\u0161ava u\u010ditavanje Internet stranice. Uz to vr\u0161i provjeru da li se trenutna lokacija nalazi na listi ciljanih meta koji su definisani na komandom serveru. Ako postoji podudaranje, dolazi do u\u010ditavanje dodatnih skripti koje se ubacuju u k\u00f4d Internet stranice kako bi se izvr\u0161ila kra\u0111a informacija koje se odnose na kriptovalute i pristupne podatke za elektronsku po\u0161tu.<\/span><\/p>\n

Pored toga, mogu\u0107nost\u00a0 Rilide<\/em> zlonamjernog dodatka da onemogu\u0107ava polisu politike bezbjednosti sadr\u017eaja (eng. Content Security Policy \u2013 CSP<\/em>), \u0161to omogu\u0107ava izvr\u0161avanje napada skriptovanje na vi\u0161e lokacija (eng. cross-site scripting \u2013 XSS<\/em>) kako bi se slobodno u\u010ditavali spoljni resursi koje bi Internet pretra\u017eiva\u010d ina\u010de blokirao. Tu su jo\u0161 i opcije\u00a0 preuzimanja istorije pretra\u017eivanja i snimanje ekrana.<\/span><\/p>\n

 <\/p>\n

Zaobila\u017eenje provjere identiteta u dva koraka (2FA<\/em>)<\/strong><\/span><\/h4>\n

Zanimljiva mogu\u0107nost Rilide<\/em> zlonamjernog dodatka je njegov sistem zaobila\u017eenja 2FA<\/em>, koji koristi la\u017ene dijaloge da bi prevario \u017ertve da unesu svoje privremene k\u00f4dove. Sistem se aktivira kada \u017ertva pokrene zahtev za povla\u010denje kriptovalute servisu za razmjenu koji se nalazi na listi ove zlonamjerne ekstenzije. Ta\u010dno i pravom trenutku zlonamjerni dodatak ubacuje skriptu u pozadinu\u00a0 i\u00a0 automatski obradi zahtev. Kada korisnik unese svoj k\u00f4d u la\u017eni dijalog, Rilide<\/em> ga koristi da zavr\u0161i proces povla\u010denja na adresu nov\u010danika napada\u010da.<\/span><\/p>\n

 <\/p>\n

Zaklju\u010dak<\/strong><\/span><\/h5>\n

Rilide<\/em> zlonamjerni dodatak je odli\u010dan primjer sve ve\u0107e sofisticiranosti zlonamjernih dodatka za Internet pregleda\u010de i opasnosti koje predstavljaju.<\/span><\/p>\n

Zbog preoptere\u0107enosti informacijama koje mogu umanjiti sposobnost korisnika da ta\u010dno protuma\u010de \u010dinjenice, ovakvi napadi \u010dine korisnike podlo\u017eim poku\u0161ajima kra\u0111e identiteta. Va\u017eno je da korisnici budu oprezni i sumnji\u010davi prema neo\u010dekivanoj elektronskoj po\u0161ti ili porukama i da nikad ne pretpostavljaju da je neki sadr\u017eaj na Internetu bezbjedan, \u010dak iako se \u010dini da jeste.<\/span><\/p>\n

Za kraj, va\u017eno je da su korisnici informisani i upu\u0107eni o osnovima funkcionisanja najnovijih prijetnji u kiberneti\u010dkom prostoru i najboljim praksama u njihovom spre\u010davanju kako bi se umanjila mogu\u0107nost infekcije korisni\u010dkih ure\u0111aja.<\/span><\/p>","protected":false},"excerpt":{"rendered":"

Rilide krade MFA kodove iz Internet pregleda\u010da baziranih na projektu Chromium. Zlonamjerni dodatak Rilide Sigurnosni istra\u017eiva\u010di su otkrili novi zlonamjerni dodatka za Internet pretra\u017eiva\u010de nazvan Rilide, koji cilja Internet pregleda\u010de bazirane na projektu Chromium,...<\/p>","protected":false},"author":1,"featured_media":4624,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[243,149,244,93,241,152],"class_list":["post-4622","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-hronike","tag-brave","tag-chrome","tag-chromium","tag-malware","tag-microsoft-edge","tag-opera"],"_links":{"self":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4622","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/comments?post=4622"}],"version-history":[{"count":0,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/posts\/4622\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media\/4624"}],"wp:attachment":[{"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/media?parent=4622"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/categories?post=4622"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sajberinfo.com\/en\/wp-json\/wp\/v2\/tags?post=4622"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}