Support technique
Documentation
Connexion
Nous contacter
Les utilisateurs de navigateurs basés sur Chromium ciblés par le logiciel malveillant Rilide
Le 20 avril 2023 - L'équipe de relations publiques de TuxCare
Les chercheurs en sécurité de Trustwave SpiderLabs ont découvert une nouvelle souche de logiciels malveillants appelée Rilide, qui cible spécifiquement les utilisateurs de navigateurs basés sur Chromium, notamment Google Chrome, Microsoft Edge, Brave Browser et Opera.
L'extension Rilide est déguisée en extension Google Drive légitime et est capable de collecter des informations système, d'exfiltrer l'historique de navigation, de prendre des captures d'écran et d'injecter des scripts malveillants. L'extension vise à compromettre les comptes de messagerie, y compris Outlook, Yahoo et Google, et les comptes de crypto-monnaie, tels que Kraken, Bitget, Coinbase, et plus encore, en servant de fausses demandes MFA.
Selon les chercheurs en sécurité Pawel Knapczyk et Wojciech Cieslak, les scripts d'échange de cryptomonnaies de Rilide prennent en charge une fonction de retrait automatique. Pendant que la demande de retrait est effectuée en arrière-plan, l'utilisateur se voit présenter une boîte de dialogue d'authentification d'appareil falsifié pour obtenir le 2FA. Les courriels de confirmation sont également remplacés à la volée si l'utilisateur entre dans la boîte aux lettres en utilisant le même navigateur web, le courriel de demande de retrait étant remplacé par une demande d'autorisation de l'appareil incitant l'utilisateur à fournir le code d'autorisation.
L'extension Rilide a été diffusée par le biais de deux campagnes distinctes, la première utilisant des publicités Google malveillantes, des documents contenant des macros, le voleur Aurora et le cheval de Troie d'accès à distance Ekipa RAT. On ne sait toujours pas s'il existe un lien entre les acteurs de la menace derrière Ekipa RAT et ceux derrière l'infostealer Rilide, mais il est probable qu'Ekipa RAT ait été testé comme moyen de distribution pour Rilide avant de passer à l'Aurora stealer.
Ce n'est pas la première fois que les SpiderLabs observent des extensions de navigateur malveillantes, mais la capacité du malware Rilide à utiliser de fausses boîtes de dialogue pour tromper les utilisateurs et les amener à révéler leur authentification à deux facteurs, puis à retirer des crypto-monnaies en arrière-plan, est rare et efficace. Dans le cadre de leur enquête, les Trustwave SpiderLabs ont également découvert des extensions de navigateur similaires mises en vente, et une partie du code source de Rilide a récemment été divulguée sur un forum clandestin à la suite d'un litige de paiement.
Les sources de cet article comprennent un article paru dans HelpNetSecurity.
