根據 Trustwave Spiderlabs 的網絡安全研究人員發現,Rilide Stealer 這一惡名昭著的惡意 Google Chrome 擴展程式的更新版本已經出現。
該擴展程式能夠竊取使用者的登錄憑證、銀行賬戶資訊以及存儲在銀包附加程式中的加密貨幣。該擴展程式可在基於 Chromium 的瀏覽器上運行,包括 Chrome、Edge、Brave 和 Opera。儘管惡意擴展程式並不罕見,但這個特定版本的分發方式卻有些獨特。
根據研究人員的報告,威脅行為者通過冒充 VPN 產品和防火牆服務提供商(如 Palo Alto 的 GlobalProtect App)發送釣魚郵件。在郵件中,他們會警告收件人有一個潛在的網絡威脅,並提供一份 PowerPoint 演示文稿,指導收件人如何安裝合法的擴展程式,以確保其終端的安全。然而,演示文稿中提供的鏈接直接導致惡意軟件。
如果受害者上當並安裝了 Rilide,該惡意軟件將針對多個銀行、支付提供商、電子郵件服務提供商、加密貨幣交易平台、VPN 和雲服務提供商進行攻擊。根據 BleepingComputer 的報導,該惡意軟件通過使用注入腳本進行操作,主要針對居住在澳洲和英國的目標。
這個新版本的惡意軟件還具有一定的特殊性,它成功地繞過了 Chrome 擴展程式 Manifest V3,這是 Google 最新引入的擴展程式限制措施,旨在保護使用者免受惡意附加程式的侵害。
被竊取的資料隨後被外洩到一個 Telegram 頻道,或通過螢幕截圖傳送到預先確定的 C2 伺服器。研究人員對於誰在背後策劃這場攻擊並不清楚,因為 Rilide 是一種通用的惡意軟件,在駭客論壇上販售,並且很可能在不同的攻擊活動中被使用。
在這個特定的案例中,攻擊者生成了超過 1,500 個釣魚頁面(使用了類似域名的拼寫錯誤),並通過對受信任搜尋引擎進行 SEO 欺騙來宣傳這些頁面。他們還冒充銀行和服務提供商,以引誘受害者輸入他們的登錄詳細資訊。