Исследователи кибербезопасности из Trustwave Spiderlabs обнаружили обновленную версию печально известного Rilide Stealer, вредоносного расширения Google Chrome, способного красть учетные данные пользователей, банковские счета и криптовалюты, хранящиеся в надстройках кошелька.
Расширение работает в браузерах на базе Chromium, включая Chrome, Edge, Brave и Opera. Хотя вредоносные расширения не являются чем-то новым, метод распространения этой конкретной версии несколько оригинален.
Согласно отчету исследователей, злоумышленники распространяли фишинговые электронные письма, выдавая себя за продукты VPN и поставщиков услуг брандмауэра, таких как приложение GlobalProtect компании Palo Alto. В электронных письмах они предупреждали получателей о киберугрозах, скрывающихся в дикой природе, и предлагали в презентации PowerPoint рекомендации о том, как установить законное расширение и, таким образом, обеспечить безопасность своих конечных точек. Однако ссылки в презентации PP ведут прямо на вредоносное ПО.
Обходит манифест расширения Chrome V3
Если жертвы попадутся на уловку и установят Rilide, вредоносное ПО нацелится на несколько банков, поставщиков платежных услуг, поставщиков электронной почты, платформ обмена криптовалютами, VPN и поставщиков облачных услуг, сообщает BleepingComputer. Вредоносное ПО работает с использованием скриптов для инъекций и ориентировано в основном на цели, проживающие в Австралии и Великобритании.
Новая версия зловреда интересна еще и тем, что успешно обходит Chrome Extension Manifest V3 — недавно введенные Google ограничения на расширения, предназначенные для защиты пользователей от вредоносных надстроек.
Затем украденные данные эксфильтрируются в канал Telegram или доставляются через скриншоты на заранее определенный сервер C2.
Исследователи точно не знают, кто стоит за этой кампанией, поскольку Rilide — это распространенное вредоносное ПО, продаваемое на хакерских форумах и, скорее всего, используемое в различных кампаниях. В данном конкретном случае злоумышленники сгенерировали более 1500 фишинговых страниц (с опечатанными доменами) и продвигали их через SEO-отравление в доверенных поисковых системах. Они также выдавали себя за банки и поставщиков услуг, чтобы жертвы вводили свои данные для входа.
Twitter также используется для этой кампании, заманивая людей на фишинговые сайты для мошеннических игр с блокчейном.
С помощью Кровоточащий компьютер
