В мире кибербезопасности появился новый игрок — вредоносная программа Rilide, предназначенная для кражи информации. Это программное обеспечение выдает себя за расширения для браузеров на базе Chromium, таких как Google Chrome и Microsoft Edge. Впервые обнаруженная в апреле 2023 года, Rilide показывает, как злоумышленники используют современные технологии для обхода защитных механизмов.
Механизмы доставки и установка Rilide
Rilide использует различные механизмы доставки, среди которых:
- Фишинговые веб-сайты: Первоначально пользователи заманиваются на поддельные сайты.
- Вредоносная реклама: Устанавливаются поддельные расширения через рекламу.
- Файлы PowerPoint: В качестве приманки используется файл, который перенаправляет на фишинговый сайт для загрузки Rilide.
- Социальные сети: Пользователи заманиваются через Twitter на фишинговые сайты.
Известно, что вредоносная программа адаптирована к стандартам Chrome Extension Manifest version 3, что усложняет выполнение внешних скриптов или загрузку файлов с удаленных серверов. Это делает установку Rilide более стойкой, так как необходимая логика жестко запрограммирована в пакете расширения.
Стратегии внедрения и действия Rilide
Программисты выбрали систематический подход к внедрению Rilide. Вот как это выглядит:
- Использование загрузчика PowerShell для развертывания Rilide.
- Запуск дополнительных закодированных команд, без раскрытия действий пользователю.
- Запись необходимых файлов на диск и изменение файлов настроек браузера для автоматического запуска при следующем входе.
После успешной установки Rilide демонстрирует ряд неблаговидных действий:
- Создание скриншотов.
- Регистрация паролей.
- Извлечение учетных данных криптовалютного кошелька.
- Сбор информации с платформ обмена сообщениями.
Расширение Rilide имитирует законные сервисы, такие как Google Drive, запрашивая расширенные разрешения, что позволяет ему получать доступ к файлам cookie, данным из буфера обмена и системной информации.
Методы управления и шифрования трафика
Управление командно-диспетчерскими связями (C2) осуществляет с помощью различных блокчейн-сервисов. Это скрывает истинную природу трафика и затрудняет его отслеживание. Rilide может получать адреса серверов C2, что позволяет ей извлекать украденные данные с помощью HTTP POST-запросов.
Таким образом, Rilide становится ярким примером современных угроз, которые используют социальную инженерию и техническую изощренность для сбора конфиденциальной информации. Эволюция методов доставки и установки этой вредоносной программы демонстрирует, как злоумышленники адаптируются к меняющимся условиям и ограничениям платформ.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
Оригинал публикации на сайте CISOCLUB: "Rilide: Эволюция вредоносного расширения для кражи данных".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.