Rilide 멀웨어의 표적이 된 크롬 기반 브라우저 사용자
트러스트웨이브 스파이더랩스의 보안 연구원들이 구글 크롬, 마이크로소프트 엣지, 브레이브 브라우저, 오페라 등 크로미엄 기반 브라우저 사용자를 노리는 새로운 변종 멀웨어인 릴라이드(Rilide)를 발견했습니다.
Rilide 확장 프로그램은 합법적인 Google 드라이브 확장 프로그램으로 위장하여 시스템 정보를 수집하고, 검색 기록을 유출하고, 스크린샷을 찍고, 악성 스크립트를 삽입할 수 있습니다. 이 확장 프로그램은 위조된 MFA 요청을 전송하여 아웃룩, 야후, 구글을 포함한 이메일 계정과 크라켄, 비트젯, 코인베이스 등의 암호화폐 계정을 손상시키는 것을 목표로 합니다.
보안 연구원인 파벨 크냅치크와 보이치에치 시슬락에 따르면, 릴라이드의 암호화폐 거래소 스크립트는 자동 출금 기능을 지원한다고 합니다. 출금 요청이 백그라운드에서 이루어지는 동안 사용자에게 위조된 장치 인증 대화 상자가 표시되어 2FA를 획득합니다. 또한 사용자가 동일한 웹 브라우저를 사용하여 메일함에 들어가면 이메일 확인이 즉시 대체되며, 출금 요청 이메일은 사용자가 인증 코드를 제공하도록 속이는 장치 인증 요청으로 대체됩니다.
Rilide 확장 프로그램은 두 개의 개별 캠페인을 통해 전달되었으며, 첫 번째 캠페인은 악성 Google 광고, 매크로가 포함된 문서, Aurora 탈취기 및 Ekipa RAT(원격 액세스 트로이 목마)를 사용했습니다. Ekipa RAT 배후에 있는 위협 행위자와 Rilide 인포스틸러 배후에 있는 위협 행위자 간에 어떤 연관성이 있는지는 아직 명확하지 않지만, Aurora 스틸러로 전환하기 전에 Ekipa RAT가 Rilide의 배포 수단으로 테스트되었을 가능성이 높습니다.
스파이더랩스가 악성 브라우저 확장 프로그램을 발견한 것은 이번이 처음은 아니지만, 위조된 대화 상자를 사용하여 사용자를 속여 2단계 인증을 공개하도록 한 다음 백그라운드에서 암호화폐를 인출하는 Rilide 멀웨어의 능력은 매우 드물고 효과적입니다. 트러스트웨이브 스파이더랩은 조사 과정에서 유사한 브라우저 확장 프로그램이 판매 광고 중인 것을 발견했으며, 최근 결제 분쟁으로 인해 지하 포럼에서 Rilide의 소스 코드 일부가 유출된 사실도 확인했습니다.
이 글의 출처는 헬프넷시큐리티의 기사입니다.