Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
El malware Rilide se dirige a los usuarios de navegadores basados en Chromium
20 de abril de 2023 - Equipo de RRPP de TuxCare
Investigadores de seguridad de Trustwave SpiderLabs han descubierto una nueva cepa de malware llamada Rilide, que se dirige específicamente a los usuarios de navegadores basados en Chromium, incluidos Google Chrome, Microsoft Edge, Brave Browser y Opera.
La extensión Rilide se disfraza como una extensión legítima de Google Drive y es capaz de recopilar información del sistema, filtrar el historial de navegación, realizar capturas de pantalla e inyectar scripts maliciosos. La extensión tiene como objetivo comprometer cuentas de correo electrónico, incluyendo Outlook, Yahoo y Google, y cuentas de criptomoneda, como Kraken, Bitget, Coinbase y más, sirviendo solicitudes MFA falsificadas.
Según los investigadores de seguridad Pawel Knapczyk y Wojciech Cieslak, los scripts de intercambio de criptomonedas de Rilide admiten una función de retirada automática. Mientras se realiza la solicitud de retirada en segundo plano, al usuario se le presenta un cuadro de diálogo de autenticación de dispositivo falsificado para obtener 2FA. Las confirmaciones por correo electrónico también se sustituyen sobre la marcha si el usuario entra en el buzón utilizando el mismo navegador web, con el correo electrónico de solicitud de retirada sustituido por una solicitud de autorización del dispositivo engañando al usuario para que proporcione el código de autorización.
La extensión Rilide se ha distribuido a través de dos campañas distintas: la primera utiliza anuncios maliciosos de Google, documentos con macros, el robador Aurora y el Ekipa RAT (troyano de acceso remoto). Sigue sin estar claro si existe alguna conexión entre los actores de la amenaza que están detrás de Ekipa RAT y los que están detrás del infostealer Rilide, pero es probable que Ekipa RAT se probara como medio de distribución de Rilide antes de cambiar a Aurora stealer.
Esta no es la primera vez que SpiderLabs ha observado extensiones de navegador maliciosas, pero la capacidad del malware Rilide de utilizar diálogos falsos para engañar a los usuarios para que revelen su autenticación de dos factores y luego retirar criptomonedas en segundo plano es rara y efectiva. Como parte de su investigación, Trustwave SpiderLabs también descubrió extensiones de navegador similares que se anunciaban a la venta, y parte del código fuente de Rilide se filtró recientemente en un foro clandestino debido a una disputa de pago.
Las fuentes de este artículo incluyen un artículo en HelpNetSecurity.
