Technische Unterstützung
Dokumentation
Anmeldung
Kontakt
Chromium-basierte Browser-Nutzer im Visier von Rilide-Malware
20. April 2023. TuxCare PR Team
Sicherheitsforscher der Trustwave SpiderLabs haben einen neuen Malware-Stamm namens Rilide entdeckt, der speziell auf Benutzer von Chromium-basierten Browsern wie Google Chrome, Microsoft Edge, Brave Browser und Opera abzielt.
Die Rilide-Erweiterung ist als legitime Google Drive-Erweiterung getarnt und in der Lage, Systeminformationen zu sammeln, den Browserverlauf zu exfiltrieren, Screenshots zu erstellen und bösartige Skripte einzuschleusen. Die Erweiterung zielt darauf ab, E-Mail-Konten wie Outlook, Yahoo und Google sowie Kryptowährungskonten wie Kraken, Bitget, Coinbase und andere zu kompromittieren, indem sie gefälschte MFA-Anfragen stellt.
Laut den Sicherheitsforschern Pawel Knapczyk und Wojciech Cieslak unterstützen die Skripte der Kryptobörse Rilide eine automatische Abhebungsfunktion. Während die Abhebungsanforderung im Hintergrund erfolgt, wird dem Benutzer ein Dialog zur gefälschten Geräteauthentifizierung angezeigt, um 2FA zu erhalten. E-Mail-Bestätigungen werden ebenfalls im laufenden Betrieb ersetzt, wenn der Benutzer die Mailbox über denselben Webbrowser betritt, wobei die E-Mail mit der Abhebungsanforderung durch eine Geräteautorisierungsanforderung ersetzt wird, die den Benutzer zur Eingabe des Autorisierungscodes verleitet.
Die Rilide-Erweiterung wurde über zwei separate Kampagnen verbreitet, wobei die erste bösartige Google-Anzeigen, Dokumente mit Makros, den Aurora-Stealer und den Ekipa RAT (Remote Access Trojaner) verwendete. Es bleibt unklar, ob es eine Verbindung zwischen den Bedrohungsakteuren hinter Ekipa RAT und denen hinter dem Rilide-Infostealer gibt, aber es ist wahrscheinlich, dass Ekipa RAT als Verbreitungsweg für Rilide getestet wurde, bevor auf Aurora Stealer umgestellt wurde.
Es ist nicht das erste Mal, dass SpiderLabs bösartige Browser-Erweiterungen beobachtet hat, aber die Fähigkeit der Rilide-Malware, gefälschte Dialoge zu nutzen, um Benutzer dazu zu verleiten, ihre Zwei-Faktor-Authentifizierung preiszugeben und dann im Hintergrund Kryptowährungen abzuheben, ist selten und effektiv. Im Rahmen ihrer Untersuchung entdeckten die Trustwave SpiderLabs auch ähnliche Browser-Erweiterungen, die zum Verkauf angeboten werden, und ein Teil des Quellcodes von Rilide wurde kürzlich aufgrund eines Zahlungsstreits in einem Untergrundforum veröffentlicht.
Zu den Quellen für diesen Beitrag gehört ein Artikel in HelpNetSecurity.
