Nella campagna recentemente scoperta dai ricercatori di Trustwave SpiderLabs gli attori delle minacce hanno creato un’estensione di Google Drive dall’aspetto legittimo che nasconde un nuovo ceppo del malware Rilide che prende di mira i browser basati su Chromium (Google Chrome, Microsoft Edge, Brave e Opera) per rubare fondi di criptovaluta e monitorare le attività di navigazione degli utenti.
Lo stealer, inoltre, presenta anche la capacità di generare false finestre di dialogo per indurre gli utenti a consegnare codici 2FA.
È interessante notare come Rilide preveda una funzione di prelievo automatico per rubare fondi di criptovaluta: “Mentre la richiesta di prelievo viene effettuata in background, all’utente viene presentata una finestra di dialogo di autenticazione del dispositivo contraffatto per ottenere il codice 2FA”, spiegano i ricercatori Pawel Knapc e Wojciech Cieslak e continuano: “Anche le conferme e-mail vengono sostituite al volo se l’utente accede alla casella di posta utilizzando lo stesso browser web. L’e-mail di richiesta di prelievo viene sostituita con una richiesta di autorizzazione del dispositivo che induce l’utente a fornire il codice di autorizzazione”.
La richiesta di prelievo sostituita con le e-mail di autorizzazione nuovo dispositivo (fonte: Trustwave SpiderLabs).
Indice degli argomenti
Probabili origini dello stealer Rilide
Sebbene le origini esatte di Rilide siano sconosciute, Trustwave ha affermato di essere riuscita a trovare un post su un forum clandestino pubblicato nel marzo 2022 da un attore di minacce che pubblicizzava la vendita di una botnet con funzionalità simili e che parte del suo codice sorgente sia stato recentemente trapelato a causa di una controversia.
Le due catene di attacco di Rilide
In particolare, SpiderLabs avrebbe scoperto due campagne dannose che hanno portato all’installazione dell’estensione che nasconde Rilide rispettivamente tramite Ekipa RAT (un Trojan ad Accesso Remoto progettato per attacchi mirati e spesso venduto su forum clandestini) e Aurora stealer (basato sul linguaggio di programmazione Golang e pubblicizzato come Malware as a Service su forum underground).
È noto che Ekipa RAT e Aurora Stealer vengono distribuiti rispettivamente attraverso documenti Microsoft Publisher e falsi Google Ads.
Catene di infezione che portano all’esecuzione dell’estensione (fonte: Trustwave SpiderLabs).
Secondo gli analisti, qualora venisse rilevato un browser basato su Chromium, entrambe le catene di attacco consentirebbero l’esecuzione di un loader basato su Rust per installare l’estensione malevola tramite un file shortcut (LNK) contenente il parametro da riga di comando “–load-extension”.
(Fonte: Trustwave SpiderLabs).
Flusso di esecuzione e funzionalità
La falsa estensione una volta installata eseguirebbe due script “background.js” e “app.js” rispettivamente per consentire di eseguire controlli sulla cronologia di navigazione, esfiltrare URL e screenshot e recuperare un elenco di domini target dal server C2 per iniettare nella pagina web gli script designati.
Flusso di esecuzione e funzionalità (fonte: Trustwave SpiderLabs).
Conclusioni
“È importante rimanere vigili e scettici quando si ricevono e-mail o messaggi non richiesti e non dare mai per scontato che qualsiasi contenuto su Internet sia sicuro, anche se sembra che lo sia. In definitiva, è fondamentale rimanere informati e istruiti sulle ultime minacce alla sicurezza informatica e sulle migliori pratiche per ridurre al minimo il rischio di cadere vittime di attacchi di phishing”, concludono i ricercatori di Trustwave SpiderLabs.
I ricercatori nel loro rapporto sottolineano inoltre che anche quando Google inizierà ad applicare il Manifest V3 non risolverà del tutto il problema poiché “la maggior parte delle funzionalità sfruttate da Rilide sarà ancora disponibile”.
È bene precisare altresì che per proteggersi dalle estensioni malevole del browser, bisogna evitare assolutamente di scaricarle da fonti non attendibili ma di riferirsi sempre agli store ufficiali (come Chrome Web Store o Microsoft Edge Add-ons store) e installare solo quelle effettivamente necessarie.