安全企业Trustwave SpiderLabs本周披露了一个相中Chromium浏览器的恶意扩展程序Rilide,它伪装成合法的Google Drive扩展功能,在进驻浏览器之后于后台执行各种恶意活动,目的是骗取用户的双因素认证码,以盗走加密货币。
图片来源/Trustwave
迄今Trustwave SpiderLabs发现Rilide有两种感染渠道,一是借由微软的桌面出版程序Microsoft Publisher来传播恶意文件,包括Ekipa远程访问木马,当用户打开Ekipa,它即会连接到黑客所控制的C&C服务器,进而下载、执行与安装Rilide。
二是借由Google广告来诱导用户下载Aurora资料窃取工具,Aurora可能假冒为Team Viewer或Nvidia驱动程序的安装程序,最终则被用来安装Rilide。
图片来源/Trustwave
Rilide会侦测受害者所使用的浏览器,并只影响Google Chrome、Microsoft Edge、Brave及Opera等基于Chromium项目的浏览器,它会监控用户的浏览历史记录、擅自进行屏幕截屏,也会注射恶意脚本程序来盗走不同加密货币平台上的用户资产。
Rilide可于背景偷偷盗领受害者的加密货币,在送出提款请求之后,把用户所收到的电子邮件确认信件换成设备认证请求,以诱导用户输入双因素认证码。
雪上加霜的是,Rilide原本只当地下论坛兜售,但由于一起付款纠纷,疑似有买家公开了Rilide的源码连接,而使得黑市中出现了越来越多类似的恶意扩展程序,用户的自保之道无非是尽量避免下载及安装来路不明的各种文件。