A extensão do navegador Rilide rouba códigos MFA

Views: 193
0 0
Read Time:1 Minute, 37 Second

Os ladrões de criptomoedas estão visando usuários de navegadores baseados no Chromium – Google Chrome, Microsoft Edge, Brave Browser e Opera – com uma extensão que rouba credenciais e pode pegar códigos de autenticação multifator (MFA).

A extensão maliciosa

Apelidada de Rilide pelos pesquisadores da Trustwave, a extensão imita a extensão legítima do Google Drive enquanto, em segundo plano, desativa a Política de Segurança de Conteúdo (CSP), coleta informações do sistema, exfiltra o histórico de navegação, faz capturas de tela e injeta scripts maliciosos.

O objetivo é permitir que os invasores comprometam contas de e-mail (Outlook, Yahoo, Google), servindo confirmações de e-mail forjadas e contas relacionadas a criptomoedas (Kraken, Bitget, Coinbase, etc.), atendendo a solicitações de MFA forjadas.

“Os scripts de troca de criptografia da Rilide suportam a função de retirada automática. Enquanto o pedido de retirada é feito em segundo plano, o usuário é apresentado com uma caixa de diálogo de autenticação de dispositivo forjada para obter o 2FA”, explicaram os pesquisadores de segurança Pawel Knapczyk e Wojciech Cieslak.

“As confirmações por e-mail também são substituídas rapidamente se o usuário entrar na caixa de correio usando o mesmo navegador da Web. O e-mail de solicitação de retirada é substituído por uma solicitação de autorização de dispositivo que engana o usuário para fornecer o código de autorização.”

Diferentes campanhas entregam a ameaça

A extensão maliciosa foi detectada sendo entregue por meio de duas campanhas separadas, envolvendo anúncios maliciosos do Google, documentos com macros, o ladrão do Aurora e o Ekipa RAT (trojan de acesso remoto):

extensão rouba códigos MFA
Duas campanhas de entrega distintas (Fonte: Trustwave SpiderLabs)

“Qualquer associação entre os agentes de ameaças por trás do Ekipa RAT e aqueles que usam o infostealer Rilide permanece obscura. No entanto, é provável que o Ekipa RAT tenha sido testado como um meio de distribuição para o Rilide, antes de finalmente mudar para o ladrão Aurora”, observaram.

FONTE: HELPNET SECURITY

POSTS RELACIONADOS

Categorias

Posts Recentes

Instagram Youtube Facebook Twitter Linkedin

Feito por VP DIGITAL