Riligy kötü amaçlı yazılımı, meşru bir Google Drive uzantısı olarak gizlenir ve saldırganların ekran görüntüleri yakalamasına, kullanıcıların göz atma geçmişini izlemesine ve kripto para birimi cüzdanlarından para çalmak için kötü amaçlı komut dosyaları enjekte etmesine olanak tanır.
Trustwave SpiderLabs’teki siber güvenlik araştırmacıları, Chromium tabanlı tarayıcıları kripto para birimi fonlarını çalmak ve kullanıcıların göz atma etkinliklerini izlemek için hedefleyen yeni bir Rilide kötü amaçlı yazılım türüne ilişkin endişe verici ayrıntıları açıkladı.
Yeni keşfedilen kampanyada, SpiderLabs araştırmacıları, tehdit aktörlerinin Rilide kötü amaçlı yazılımını gizleyen yasal görünümlü Google Drive uzantısı oluşturduğunu fark etti.
SpiderLabs araştırmacıları, Rilide kötü amaçlı yazılımının, kullanıcıları 2FA anahtarlarını vermeleri için kandırmak üzere diyaloglar oluşturma kapasitesi nedeniyle benzersiz olduğuna inanıyor. Bu, saldırganın kripto para birimlerini gizlice çekmesine yardımcı olan nadir bir özelliktir.
Buna ek olarak, kötü amaçlı yazılım, saldırganların ekran görüntüleri yakalama, kullanıcıların tarama geçmişini izleme ve kripto para cüzdanlarından para çalmak için kötü amaçlı komut dosyaları enjekte etme dahil olmak üzere çok çeşitli etkinlikler gerçekleştirmesine de olanak tanır.
Araştırmacılar, Rilide kötü amaçlı yazılımının, kötü amaçlı hedeflerine ulaşmak için Microsoft Edge, Google Chrome ve Opera dahil olmak üzere Chromium tabanlı tarayıcıları hedef aldığını doğruladı.
Google Drive’ın kötü amaçlarla kullanılıyor olması şaşırtıcı değil. Geçen yıl yapılan bir araştırma, tüm kötü amaçlı Office belge indirme işlemlerinin %50’sinin Google Drive’dan yapıldığını ortaya çıkardı. Başka bir çalışma, 2022’de Apple Safari’nin en güvenli tarayıcı, Google Chrome’un ise en riskli tarayıcı olduğunu ortaya koydu.
Rilide kötü amaçlı yazılımına gelince, SpiderLabs araştırmacıları, araştırmaları sırasında Mart 2022’de satışa sunulan bu tür birden çok uzantı tespit etti. Ayrıca, Rilie kötü amaçlı yazılım kaynak kodunun bir kısmının yakın zamanda ödeme sorunları nedeniyle bir yeraltı bilgisayar korsanlığı forumunda biri tarafından sızdırıldığını da belirttiler.
Sızan bu kod, kripto para cüzdan adreslerini panodan saldırganın adresiyle değiştirebilir. Ayrıca, Rilide koduna gömülü C2 adresi, uzantının yükleyicisini içeren guantin adlı bir kullanıcıya ait GitHub depolarını tanımlayabilir.
Saldırı Zinciri
Araştırmacılar, kötü amaçlı uzantıyı yüklemek için iki saldırı yöntemi tespit etti: Ekipa RAT ve Aurora Stealer. Ekipa RAT, bubi tuzaklı Microsoft Publisher belgeleri aracılığıyla dağıtılırken, sahte Google Ads, Aurora Stealer’ın distribütörü olarak hizmet veriyor.
Saldırı zincirleri, tarayıcıların LNK kısayol dosyasını değiştirebilen ve “–load-extension” komut satırı anahtarını kullanarak eklentiyi başlatabilen Rust tabanlı bir yükleyicinin yürütülmesini teşvik eder.
Ekipa RAT, hedefli saldırılar gerçekleştirebilir. Tersine, ilk olarak Nisan 2022’de Rusça konuşulan yeraltı forumlarında tespit edilen Aurora, Hizmet Olarak Kötü Amaçlı Yazılım (Maas) aracı olarak sunulan Go tabanlı bir hırsızdır. Farklı web tarayıcılarından, yerel sistemlerden ve kripto para cüzdanlarından veri alabilir.
Raporda, “Rilide hırsızı, kötü amaçlı tarayıcı uzantılarının artan karmaşıklığının ve bunların oluşturduğu tehlikelerin en iyi örneğidir” deniyor.
İlgili konular
- Kötü amaçlı Firefox uzantısı, Gmail kimlik bilgilerini ele geçiriyor
- Reklam engelleyici Chrome uzantısı, Google’a reklam enjekte etti
- Sahte ChatGPT Uzantısı Facebook Hesaplarını Ele Geçirdi
- Kimlik avı saldırısı, Google Drive’ı araştırmacılara karşı kullanıyor
- Dormant Colors kötü amaçlı yazılımını barındıran Chrome uzantıları