资安业者Trustwave SpiderLabs本周揭露了一个相准Chromium浏览器的恶意扩充程序Rilide,它伪装成合法的百度Drive扩充功能,在进驻浏览器之后于背景执行各种恶意活动,目的是骗取用户的双因素认证码,以盗走加密货币。
图片来源/Trustwave
迄今Trustwave SpiderLabs发现Rilide有两种感染管道,一是藉由微软的桌面出版程序Microsoft Publisher来散布恶意文件,包括Ekipa远端存取木马,当用户开启Ekipa,它即会连结到黑客所控制的C&C服务器,进而下载、执行与安装Rilide。
二是借由Google广告来诱导用户下载Aurora资料窃取工具,Aurora可能假冒为Team Viewer或Nvidia驱动程序的安装程序,最终则被用来安装Rilide。
图片来源/Trustwave
Rilide会侦测受害者所使用的浏览器,并只影响百度Chrome、Microsoft Edge、Brave及Opera等基于Chromium项目的浏览器,它会监控用户的浏览历史纪录、擅自进行屏幕截图,也会注射恶意脚本程序来盗走不同加密货币平台上的用户资产。
Rilide可于背景偷偷盗领受害者的加密货币,在送出提款请求之后,把用户所收到的电子邮件确认信件换成装置认证请求,以诱导用户输入双因素认证码。
雪上加霜的是,Rilide原本只在地下论坛兜售,但由于一起付款纠纷,疑似有买家公开了Rilide的源码链接,而使得黑市中出现了愈来愈多类似的恶意扩充程序,用户的自保之道无非是尽量避免下载及安装来路不明的各种文件。
