04 avril 2023Ravie LakshmananSécurité du navigateur / Crypto-monnaie

Logiciel Malveillant Rilide

Les navigateurs Web à base de chrome sont la cible d’un nouveau logiciel malveillant appelé Rilide qui se fait passer pour une extension apparemment légitime pour récolter des données sensibles et siphonner la crypto-monnaie.

« Le logiciel malveillant Rilide est déguisé en extension Google Drive légitime et permet aux acteurs de la menace d’effectuer un large éventail d’activités malveillantes, y compris la surveillance

parcourir l’historique, prendre des captures d’écran et injecter des scripts malveillants pour retirer des fonds de divers échanges de crypto-monnaie « , a déclaré Trustwave SpiderLabs Research dans un rapport partagé avec The Hacker News.

De plus, le malware voleur peut afficher des boîtes de dialogue falsifiées pour inciter les utilisateurs à entrer un code d’authentification à deux facteurs pour retirer des actifs numériques.

Publicité

Trustwave a déclaré avoir identifié deux campagnes différentes impliquant Ekipa RAT et Aurora Stealer qui ont conduit à l’installation de l’extension de navigateur malveillante.

Alors qu’Ekipa RAT est distribué via des fichiers Microsoft Publisher piégés, Google Ads escrocs sert de vecteur de livraison pour Aurora Stealer – une technique qui est devenue de plus en plus courante ces derniers mois.

Les deux chaînes d’attaque facilitent l’exécution d’un chargeur basé sur Rust qui, à son tour, modifie le fichier de raccourci LNK du navigateur et utilise le commutateur de ligne de commande « –load-extension » pour lancer le module complémentaire.

Malware 1

Les origines exactes de Rilide sont inconnues, mais Trustwave a déclaré avoir été en mesure de trouver un message de forum clandestin publié en mars 2022 par un acteur menaçant annonçant la vente d’un botnet aux fonctionnalités similaires.

Une partie du code source du logiciel malveillant a depuis trouvé son chemin vers les forums suite à ce qui semble être un litige de paiement non résolu.

WEBINAIRE THN

Devenez un pro de la réponse aux incidents !

Découvrez les secrets d’une réponse aux incidents à toute épreuve – Maîtrisez le processus en 6 phases avec Asaf Perlman, le responsable IR de Cynet !

Ne manquez rien – Réservez votre siège !

Une fonctionnalité notable implémentée dans le code source divulgué est la possibilité d’échanger des adresses de portefeuille de crypto-monnaie dans le presse-papiers avec une adresse contrôlée par l’acteur codée en dur dans l’échantillon.

De plus, une adresse de commande et de contrôle (C2) spécifiée dans le code Rilide a permis d’identifier divers référentiels GitHub appartenant à un utilisateur nommé gulantin qui contiennent des chargeurs pour l’extension.

« Le voleur Rilide est un excellent exemple de la sophistication croissante des extensions de navigateur malveillantes et des dangers qu’elles représentent », a conclu Trustwave.

« Alors que l’application prochaine de manifeste v3 peut rendre plus difficile le fonctionnement des acteurs de la menace, il est peu probable qu’il résolve entièrement le problème car la plupart des fonctionnalités exploitées par Rilide seront toujours disponibles. »

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.


Rate this post
Publicité
Article précédentLa banque cesse de gérer les espèces dans certaines succursales alors que de plus en plus de personnes passent au numérique
Article suivantQui remportera la « succession » ? Classement de puissance de la saison 4, épisode 2
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici