Trustwave SpiderLabs’teki siber güvenlik analistleri olarak bilinen yeni bir kötü amaçlı yazılım türü, yakın zamanda Rilide’ı keşfetti. Bu yeni kötü amaçlı yazılım, Chromium platformunda oluşturulmuş web tarayıcılarına saldırmak için özel olarak tasarlanmıştır, örneğin:-
- Google Chrome
- Microsoft Kenarı
- Cesur
- Opera
Trustwave SpiderLabs araştırmacıları, Rilide’ın tespit edilmekten kaçınmak için kendisini yasal bir Google Drive uzantısı olarak kamufle ettiğini ve kötü amaçlı amaçlar için Chrome’un doğasında bulunan özelliklerinden yararlandığını keşfetti.
Rilide’ın Yetenekleri
Aşağıdakiler de dahil olmak üzere Rilide kötü amaçlı yazılımını kullanan tehdit aktörleri tarafından gerçekleştirilebilecek çok sayıda kötü amaçlı etkinlik vardır:-
- Tarama geçmişini izleme
- Ekran görüntüsü alma
- Kötü amaçlı komut dosyaları enjekte etme
Trustwave SpiderLabs, daha önce zararlı tarayıcı uzantılarını kullanan başka kötü amaçlı yazılım örnekleriyle karşılaştı ve Rilide bir istisna değil.
Kötü Amaçlı Kampanyalar
Rilide’ı diğer kötü amaçlı yazılımlardan ayıran şey, sahte iletişim kutularından yararlanma konusundaki benzersiz yeteneğidir. Bu iletişim kutuları daha sonra kullanıcıları iki faktörlü kimlik doğrulama (2FA) bilgilerini ifşa etmeleri için kandırmak için kullanılır ve daha sonra kripto para birimlerini gizlice çalmak için kullanılır.
SpiderLabs tarafından, kurbanın cihazına Rilide tarayıcı uzantısını yüklemek için tasarlanmış iki kötü amaçlı kampanya keşfedildi.
Aşağıda kampanyalardan bahsetmiştik:-
- Kampanya 1: Ekipa RAT Rilide Stealer’ı Kuruyor
- 2. Kampanya: Aurora Hırsızı Google Reklamlarını Kötüye Kullanıyor
Uzantıyı Rust yükleyici aracılığıyla yüklemenin iki yöntemi vardır: –
- Biri Google Reklamları aracılığıyla yapılır
- Diğeri Aurora Steale aracılığıyla yapılır
Kötü amaçlı uzantıyı dağıtmak için bunlardan biri Ekipa RAT’ı kullanır. Trustwave, kötü amaçlı yazılımın kaynağı bilinmemekle birlikte, kötü amaçlı yazılım ile siber suçlulara satılan benzer uzantılar arasında bir çakışma olduğunu bildiriyor.
Ayrıca, kodunun bazı bölümleri, bilgisayar korsanlarının fazla ödemesine ilişkin çözümlenmemiş bir anlaşmazlığın ardından bir yeraltı forumuna sızdırıldı.
Sülük Gibi Bir Uzantı
Rilide’nin yükleyicisi tarafından web tarayıcısı kısayol dosyalarında yapılan değişiklikler yoluyla güvenliği ihlal edilmiş sisteme kötü amaçlı bir uzantı bırakılır.
Kötü amaçlı yazılım yürütüldüğünde, sürece bir dinleyici ekleyen bir komut dosyası yürütür. Tehdit aktörleri, bir kurbanın sekme değiştirdiğini, bir web sitesinden içerik aldığını veya bir sayfa yüklediğini tespit etmek için genellikle bunun gibi bir dinleyici kullanır.
Ayrıca, sitenin geçerli URL’si, eşleşip eşleşmediğini belirlemek için C2 sunucusunda bulunan hedefler listesine göre kontrol edilir.
Uzantı, bir eşleşme bulunduğunda ek komut dosyaları yükleyecek ve daha sonra kurbandan bilgi çalmak için web sayfasına enjekte edilecek. Hedeflenen veriler esas olarak aşağıdakilerle ilgili olsa da: –
- Kripto para birimleri
- E-posta hesabı kimlik bilgileri
- Banka cüzdanları
Kötü amaçlı uzantı, genellikle serbestçe engellenen harici kaynakları yüklemek için yalnızca bir web tarayıcısının ‘İçerik Güvenliği Politikası’ (CSP) özelliğini atlamakla kalmaz, aynı zamanda ekran görüntülerini yakalayabilir ve sızan tarama geçmişini daha sonra saldırganın komut-ve- kontrol (C2) sunucusu.
2FA’yı atlamak
Rilide’nin sahtecilik sistemi, bir kurban kötü amaçlı yazılım tarafından hedeflenen bir takas hizmetinden kripto para birimini çekmeye çalıştığında tetiklenir. Bu noktada, kötü amaçlı komut dosyası arka plana enjekte edilerek, kötü amaçlı yazılımın isteği otomatik olarak işlemesine izin verilir.
Rilide, para çekme işlemini tamamlamak için kullanıcının sahte iletişim kutusuna girdiği kodu kullanır. Bir kez yapıldığında, para çekme miktarı otomatik olarak tehdit aktörünün cüzdan adresine aktarılır.
Kullanıcı, posta kutusuna aynı web tarayıcısı üzerinden erişirse, Rilide, sahte bir cihaz yetkilendirme talebiyle değiştirilen para çekme talebi e-postası da dahil olmak üzere e-posta onaylarını değiştirir.
Rilide’ın ilerlemesi, artık para çalmak için canlı izleme ve otomatikleştirilmiş sistemler içeren kötü amaçlı tarayıcı uzantılarının giderek daha karmaşık hale gelen doğasını vurgulamaktadır.
Manifest v3’ün uygulanması, tehdit aktörlerinin çalışmasını daha zor hale getirebilse de, Rilide’ın işlevlerinin çoğuna hala erişilebilir olacağından sorunun tamamen çözülmesi olası değildir.
Güvenlik Düzeltme Eki’ni Sisteminize Uygulamakta Zorlanıyor Musunuz? – All-in-One Patch Manager Plus’ı deneyin