Den ondsindede Rilide Stealer Chrome-browserudvidelse er dukket op igen i nye kampagner, der specifikt er rettet mod brugere af kryptovaluta og ansatte i virksomheder.

Formålet med disse kampagner er ulovligt at erhverve legitimationsoplysninger og krypto-tegnebøger.

Rilide fungerer som en skadelig browserudvidelse designet til browsere bygget på Chromium-rammeværket, inklusive fremtrædende dem som Chrome, Edge, Brave og Opera. Trustwave SpiderLabs opdagede oprindeligt denne trussel i april 2023. Under dens indledende identifikation udgjorde Rilide-browserudvidelsen sig som en legitim Google Drev-udvidelse, men dens sande hensigt var at styre browseren, overvåge brugerhandlinger og indhente følsomme oplysninger såsom e-mail-loginoplysninger og cryptocurrency beholdninger.

Chrome Extension Manifest V3

Nylige opdagelser fra Trustwave SpiderLabs har afsløret en opdateret version af Rilide, der rummer Chrome Extension Manifest V3. Dette gør det muligt for udvidelsen at omgå begrænsninger, der blev introduceret gennem Googles nye udvidelsesspecifikationer. Derudover anvender den yderligere kodetilsløringsteknikker for at undgå detektionsbestræbelser.

Desuden har denne nye iteration af Rilide malware-udvidelsen udvidet dens anvendelsesområde til at målrette mod bankkonti. De stjålne data sendes enten via en Telegram-kanal eller ved at optage periodiske skærmbilleder, som derefter videresendes til en central kommando- og kontrolserver (C2-server).

Trustwaves undersøgelse har afsløret, at Rilide bliver udbredt gennem flere igangværende kampagner. I betragtning af dets status som varemærket malware, der handles på underjordiske fora, er det sandsynligt, at forskellige trusselsaktører udfører disse kampagner uafhængigt.

En af disse kampagner har rettet sig mod adskillige mål, herunder banker, betalingsudbydere, e-mail-tjenester, cryptocurrency-udvekslinger, VPN-tjenester og cloud-platforme. Dette initiativ bruger injektionsscripts og er overvejende rettet mod enkeltpersoner i Australien og Storbritannien.

Undersøgelsen afslørede også over 1.500 phishing-websider, der udnytter domæner, der sætter sig på hug. Disse sider promoveres gennem søgemaskineoptimeringsmanipulation, der forklædes som legitime bank- og tjenesteudbyderportaler. Deres formål er at bedrage ofre til at indsende deres kontooplysninger på falske login-formularer.

I et andet scenarie bliver brugere inficeret gennem phishing-e-mails, der angiveligt støtter VPN- eller firewall-applikationer, som ofte efterligner betroede mærker såsom Palo Altos GlobalProtect-app. En bemærkelsesværdig tilgang i denne kampagne involverer en gennemarbejdet PowerPoint-præsentation målrettet ZenDesk-medarbejdere. Forklædt som en sikkerhedsrådgivning tvinger præsentationen faktisk brugere til at installere den ondsindede Rilide-udvidelse under dække af at installere legitim software.

Axie Infinity

"Play To Earn" blockchain-spil

Trustwave har også identificeret en kampagne på Twitter, der leder ofre til phishing-sider, der er forbundet med fabrikerede "Play To Earn" (P2E) blockchain-spil. Installatørerne på disse websteder implementerer dog diskret Rilide-udvidelsen, hvilket gør det muligt for angriberne at kompromittere ofrenes cryptocurrency-punge.

Uafhængigt af den anvendte distributionsstrategi, kommunikerer udvidelsen efter installationen med angriberens server for at modtage forskellige kommandoer. Disse kommandoer omfatter aktiviteter såsom aktivering eller deaktivering af udvidelser, indsamling af systemoplysninger, oprettelse af meddelelser, optagelse af skærmbilleder, håndtering af URL'er, hentning af browserhistorik, anvendelse af injektionskode på specifikke websteder og styring af proxyindstillinger. Dette arsenal af kommandoer letter tyveri af en bred vifte af information, som kan udnyttes til at få uautoriseret adgang til cryptocurrency tegnebøger og online konti.

Omgået Googles krav via Declarative Net Requests API'er

En væsentlig tilpasning for Rilides fortsatte drift og succes er dens tilpasning til Manifest V3-standarden. Dette er væsentligt på grund af Googles implementering af denne standard siden januar 2023, som sætter begrænsninger på ældre udvidelser. Manifest V3 begrænser udvidelsens kapacitet til at få adgang til brugernetværksanmodninger, forbyder indlæsning af kode fra eksterne kilder og overfører netværksanmodningsændringer fra udvidelsen til browseren. Disse ændringer påvirker Rilides funktionalitet, da den er stærkt afhængig af indsprøjtning af eksternt hostede JavaScripts. Skaberne af malwaren har derfor brugt en kombination af kendte teknikker til at omgå Googles krav. For eksempel anvender den seneste version inline-hændelser til at udføre ondsindet JavaScript og udnytter Declarative Net Requests API'er til at omgå Content Security Policy's (CSP) cross-site scripting (XSS) forebyggelsesmekanismer.

Fjernhostet kodning

På grund af dets distribution uden for Chrome Web Store, hvor Manifest V3's politikker håndhæves strengt, kan Rilides udviklere bruge løsninger til at udføre fjernhostet kodning.

Rilides popularitet blandt hackere er steget. Trustwaves forskere har observeret indsættelsen af ​​flere droppere til Rilide. Dette skyldes, at malwaren bliver solgt til cyberkriminelle for en pris på 5.000 USD, hvilket krævede, at de udviklede deres egne distributionsmetoder. Desuden har der været tilfælde af potentielle lækager af Rilides autentiske kildekode på underjordiske fora, hvilket gør malwarens kode tilgængelig for en bredere række af hackere. Denne variation komplicerer bestræbelserne på at spore og kortlægge Rilide-kampagner. Da den oprindelige forfatter til malwaren fortsætter med at forfine den ondsindede Chrome-udvidelse, ser det ud til at vedholdenheden af ​​Rilides aktivitet i naturen er uundgåelig.