Kripto para hırsızları, kimlik bilgilerini çalan ve çok faktörlü kimlik doğrulama (MFA) kodlarını yakalayabilen bir uzantıyla Chromium tabanlı tarayıcıların (Google Chrome, Microsoft Edge, Brave Browser ve Opera) kullanıcılarını hedefliyor.
Kötü amaçlı uzantı
Trustwave araştırmacıları tarafından Rilide olarak adlandırılan uzantı, yasal Google Drive uzantısını taklit ederken, arka planda İçerik Güvenliği Politikasını (CSP) devre dışı bırakır, sistem bilgilerini toplar, tarama geçmişini sızdırır, ekran görüntüleri alır ve kötü amaçlı komut dosyaları enjekte eder.
Saldırganların sahte e-posta onayları sunarak e-posta (Outlook, Yahoo, Google) hesaplarını ve sahte MFA istekleri sunarak kriptoyla ilgili hesapları (Kraken, Bitget, Coinbase vb.) ele geçirmesine olanak sağlamayı amaçlar.
“Rilide’nin kripto değişim betikleri, otomatik para çekme işlevini destekliyor. Güvenlik araştırmacıları Pawel Knapczyk ve Wojciech Cieslak, para çekme talebi arka planda yapılırken, 2FA elde etmek için kullanıcıya sahte cihaz kimlik doğrulama iletişim kutusu sunuluyor.
“Kullanıcı aynı web tarayıcısını kullanarak posta kutusuna girerse, e-posta onayları da anında değiştirilir. Para çekme talebi e-postası, kullanıcıyı yetkilendirme kodunu sağlaması için kandıran bir cihaz yetkilendirme talebiyle değiştirilir.”
Farklı kampanyalar tehdidi iletiyor
Kötü amaçlı uzantının, kötü amaçlı Google reklamları, makro içeren belgeler, Aurora hırsızı ve Ekipa RAT (uzaktan erişim truva atı) içeren iki ayrı kampanya aracılığıyla dağıtıldığı tespit edildi:
İki farklı dağıtım kampanyası (Kaynak: Trustwave SpiderLabs)
Ekipa RAT’ın arkasındaki tehdit aktörleri ile Rilide bilgi hırsızını kullananlar arasındaki herhangi bir ilişki belirsizliğini koruyor. Ancak Ekipa RAT’in, sonunda Aurora hırsızına geçmeden önce Rilide için bir dağıtım aracı olarak test edilmiş olması muhtemeldir.”