I ricercatori di Trustwave hanno scoperto un’estensione per browser basati su Chromium che accede alla cronologia, scatta screenshot e ruba le criptovalute tramite script iniettati nelle pagine web. Rilide viene distribuita attraverso due distinte campagne e mascherata come add-on per Google Drive. Fortunatamente il malware viene rilevato e bloccato dalla maggioranza degli antivirus.
Rilide aggira l’autenticazione in due fattori
Gli esperti di Trustwave hanno individuato due modalità di distribuzione di Rilide. La prima sfrutta un file Publisher, all’interno del quale c’è una macro che scarica il RAT Ekipa e quindi il loader di Rilide. La seconda sfrutta l’info-stealer Aurora (disponibile su siti infetti pubblicizzati con Google Ads) per scaricare il malware.
Il loader carica l’estensione fasulla nei browser basati su Chromium (Chrome, Edge, Brave e Opera). Rilide effettua un attacco XSS e carica risorse esterne. Uno script eseguito in background preleva quindi un elenco di domini dal server C2 (command and control). Se l’utente visita uno dei domini, il malware inietta nelle pagine web il codice che permette di rubare credenziali e criptovalute.
Quando l’ignara vittima effettua il prelievo di criptovalute, Rilide intercetta la richiesta del codice dell’autenticazione in due fattori che viene quindi utilizzato dai cybercriminali per completare la transazione. Le criptovalute finiscono ovviamente nel portafoglio sbagliato.
Trustwave afferma che il prossimo Manifest v3 per le estensioni dovrebbe limitare i rischi, ma simili problemi di sicurezza non verranno completamente eliminati.