Un nouveau virus vide automatiquement les comptes d'échange crypto
Rilide se fait passer pour une extension Google Drive légitime et permet aux cybercriminels d’effectuer diverses activités, notamment l’obtention de données d’historique de navigation, la prise de captures d’écran et le retrait de fonds de divers échanges de crypto-monnaie.
Les chercheurs en cybersécurité de Trustwave SpiderLabs ont découvert une nouvelle souche de malware appelée Rilide qui cible les navigateurs basés sur Chromium comme Google Chrome, Microsoft Edge, Brave et Opera et vole les crypto-monnaies des utilisateurs.
Le virus Rilide impacte les détenteurs de crypto
Rilide diffère des autres souches de logiciels malveillants que SpiderLabs a rencontrées en ce sens qu’il utilise des dialogues falsifiés pour tromper les utilisateurs afin qu’ils transmettent leurs codes d’authentification à deux facteurs (2FA). Cela permet au malware de retirer des crypto-monnaies en arrière-plan à l’insu de l’utilisateur.
Au cours de l’enquête sur les origines de Rilide, les chercheurs ont trouvé des extensions de navigateur similaires annoncées à la vente et ont découvert qu’une partie de son code avait récemment été publiée sur un forum clandestin en raison d’un litige de paiement.
Les chercheurs ont découvert deux campagnes malveillantes qui ont conduit à l’installation de l’extension Rilide. L’une de ces campagnes impliquait un module contenant un bloc de données codé stockant l’URL du chargeur Rilide.
La charge utile, qui était hébergée sur Discord CDN, a été enregistrée dans le répertoire %temp% et exécutée via l’applet de commande PowerShell start-process.
Rilide utilise un chargeur Rust pour installer l’extension si un navigateur basé sur Chromium est détecté. Le chargeur modifie les fichiers de raccourcis ouvrant les navigateurs Web ciblés, afin qu’ils soient exécutés avec le paramètre –load-extension qui pointe vers l’extension Rilide malveillante abandonnée.
Le script d’arrière-plan du malware attache un écouteur à certains événements et supprime la directive Content Security Policy (CSP) pour toutes les requêtes, permettant à l’extension d’effectuer une attaque et de charger des ressources externes qui seraient bloquées par le CSP sans une telle approche.
incitant l’utilisateur à fournir le code d’autorisation.
Au cours de leurs recherches, SpiderLabs a trouvé plusieurs extensions de voleur à vendre avec des capacités similaires à Rilide, mais ils n’ont pas été en mesure de lier définitivement l’une d’entre elles au malware. Ils ont également découvert une publicité de vente de botnet sur un forum clandestin datée de mars 2022, qui comprenait des fonctionnalités telles qu’un proxy inverse et un clicker publicitaire.
La fonction de retrait automatique du botnet a attaqué les mêmes échanges observés dans les échantillons de Rilide.
Rilide est un excellent exemple de la sophistication croissante des extensions de navigateur malveillantes et des dangers qu’elles présentent. Bien que l’application prochaine du manifeste v3 puisse poser plus de problèmes aux acteurs de la menace, il est peu probable qu’il résolve complètement le problème, car la plupart des fonctionnalités exploitées par Rilide seront toujours disponibles.
et de se tenir informé des dernières menaces de cybersécurité et des pratiques de sécurité afin de minimiser le risque d’être victime d’attaques de phishing.
Suivez-nous sur Google Actualités
