Os ladrões de criptomoedas estão visando usuários de navegadores baseados no Chromium – Google Chrome, Microsoft Edge, Brave Browser e Opera – com uma extensão que rouba credenciais e pode pegar códigos de autenticação multifator (MFA).
A extensão maliciosa
Apelidada de Rilide pelos pesquisadores da Trustwave, a extensão imita a extensão legítima do Google Drive enquanto, em segundo plano, desativa a Política de Segurança de Conteúdo (CSP), coleta informações do sistema, exfiltra o histórico de navegação, faz capturas de tela e injeta scripts maliciosos.
O objetivo é permitir que os invasores comprometam contas de e-mail (Outlook, Yahoo, Google), servindo confirmações de e-mail forjadas e contas relacionadas a criptomoedas (Kraken, Bitget, Coinbase, etc.), atendendo a solicitações de MFA forjadas.
“Os scripts de troca de criptografia da Rilide suportam a função de retirada automática. Enquanto o pedido de retirada é feito em segundo plano, o usuário é apresentado com uma caixa de diálogo de autenticação de dispositivo forjada para obter o 2FA”, explicaram os pesquisadores de segurança Pawel Knapczyk e Wojciech Cieslak.
“As confirmações por e-mail também são substituídas rapidamente se o usuário entrar na caixa de correio usando o mesmo navegador da Web. O e-mail de solicitação de retirada é substituído por uma solicitação de autorização de dispositivo que engana o usuário para fornecer o código de autorização.”
Diferentes campanhas entregam a ameaça
A extensão maliciosa foi detectada sendo entregue por meio de duas campanhas separadas, envolvendo anúncios maliciosos do Google, documentos com macros, o ladrão do Aurora e o Ekipa RAT (trojan de acesso remoto):
Duas campanhas de entrega distintas (Fonte: Trustwave SpiderLabs)
“Qualquer associação entre os agentes de ameaças por trás do Ekipa RAT e aqueles que usam o infostealer Rilide permanece obscura. No entanto, é provável que o Ekipa RAT tenha sido testado como um meio de distribuição para o Rilide, antes de finalmente mudar para o ladrão Aurora”, observaram.
FONTE: HELPNET SECURITY