Gli specialisti di Trustwave SpiderLabs hanno rivelato il malware Rilide, che colpisce i browser Chromium per sottrarre dati riservati e criptovalute, mimetizzandosi come un’estensione legittima di Google Drive.
Le funzionalità malevole di Rilide
Rilide permette agli aggressori di svolgere una vasta gamma di attività dannose, tra cui monitorare la cronologia del browser, scattare screenshot e iniettare script maligni per prelevare fondi da diverse piattaforme di scambio di criptovalute. Il malware può anche mostrare falsi messaggi di dialogo per costringere gli utenti a inserire un codice di autenticazione a due fattori per confermare il trasferimento di risorse digitali.
Le campagne di attacco associate a Rilide
Gli analisti hanno identificato due diverse campagne coinvolgenti Ekipa RAT e Aurora Stealer, che portano all’installazione dell’estensione malevola. Mentre Ekipa RAT si diffonde attraverso file Microsoft Publisher infetti, Aurora Stealer viene principalmente distribuito attraverso annunci pubblicitari fraudolenti su Google Ads.
Il funzionamento dell’attacco
Entrambe le catene di attacchi conducono all’esecuzione del Rust loader, che a sua volta modifica il file LNK del browser e utilizza il comando –load-extension per avviare l’estensione.
L’identità degli aggressori e il futuro della sicurezza delle estensioni
Non è ancora chiaro chi sia dietro questi attacchi, ma gli esperti hanno trovato un post su un forum di hacker risalente a marzo 2022 che pubblicizzava la vendita di un botnet con funzioni simili. Da allora, parte del codice sorgente del malware è stato reso pubblico a causa di una controversia irrisolta sul pagamento. Il passaggio imminente a Manifest v3, che definisce le capacità e i limiti delle estensioni, potrebbe rendere più difficile per gli aggressori operare, ma è improbabile che risolva completamente il problema, poiché gran parte delle funzionalità utilizzate da Rilide continuerà a funzionare.