Експерти з безпеки Trustwave Spiderlabs повідомили, що штам шкідливого програмного забезпечення, відомий як Rilide, націлений на активи користувачів криптовалютних бірж.
За словами дослідників Trustwave Spiderlabs, шкідливе програмне забезпечення, відоме як Rilide, маскується під розширення Google Drive і використовує вбудований функціонал браузера Chrome. Шкідливе програмне забезпечення відстежує поведінку користувачів під час транзакцій на криптовалютних біржах і таємно виводить кошти з криптогаманців.
Крім того, що Rilide дозволяє кіберзлочинцям відстежувати історію транзакцій своїх жертв, він також дозволяє впроваджувати шкідливі скрипти для крадіжки коштів з криптовалютних бірж.
Однією з особливостей Rilide є те, що він може замінити адресу криптогаманця жертви, скопійовану з буфера обміну, на адресу зловмисника.
“Що відрізняє це шкідливе програмне забезпечення, так це його ефективна і рідко використовувана здатність обманом змушувати користувачів розкривати двофакторну автентифікацію за допомогою фальшивого діалогу і виводити криптовалюту у фоновому режимі”, – зазначають експерти Trustwave. зазначають дослідники Trustwave.
Microsoft Publisher є одним з каналів розповсюдження штаму Rilide, виявленого Trustwave. Шкідливий файл був частиною Ekipa RAT – троянського коня з віддаленим доступом (RAT), призначеного для цілеспрямованих атак.
Другим варіантом штаму Rilide був Aurora Stealer, виявлений Trustwave як шкідливе програмне забезпечення як послуга (Malware-as-a-Service, MaaS) у квітні 2022 року. Це шкідливе програмне забезпечення призначене для збору даних з декількох веб-браузерів, криптовалютних гаманців і локальних систем.
Нещодавно було помічено, що зловмисники, які стоять за Aurora, використовують платформу Google Ads для розповсюдження шкідливого програмного забезпечення. Зокрема, для розгортання Aurora використовувалися кампанії, що імітували розповсюдження Team Viewer.
Також було виявлено, що Aurora поширювався через підроблений веб-сайт, який імітував веб-сайт з драйверами NVIDIA. Завантажені зразки були упаковані за допомогою Themeda, відомого комерційного захисника виконуваних файлів.
Експерти Trustwave попереджають власників криптоактивів бути “пильними і мати здоровий скептицизм”, коли події розвиваються нестандартним чином або коли вони отримують небажані електронні листи. Користувачі також повинні пам’ятати, що “весь контент в інтернеті небезпечний, навіть якщо він не здається таким”.