Rilide được ngụy trang dưới dạng tiện ích mở rộng hợp pháp của Google Drive để ẩn mình trong khi lạm dụng các chức năng tích hợp sẵn của Chrome, cho phép các tin tặc có thể theo dõi lịch sử duyệt web, chụp ảnh màn hình và đánh cắp tiền điện tử bằng việc chèn các tập lệnh độc hại vào các trang web.
Rilide không phải là phần mềm độc hại đầu tiên mà Trustwave đã quan sát thấy bằng cách sử dụng các tiện ích mở rộng trình duyệt độc hại. Điểm khác biệt của phần mềm độc hại này là nó có khả năng sử dụng hiệu quả các hộp thoại giả mạo để đánh lừa người dùng tiết lộ mã xác thực hai yếu tố (2FA) của họ để rút tiền điện tử.
Mặc dù nguồn gốc của Rilide chưa được xác định, nhưng Trustwave cho biết đã phát hiện ra các tiện ích mở rộng trình duyệt tương tự đang được rao bán. Đồng thời, một phần mã nguồn của nó gần đây đã bị rò rỉ trên một diễn đàn ngầm do tranh chấp giữa các tin tặc về khoản thanh toán chưa được giải quyết.
Các chiến dịch độc hại dẫn đến tiện ích mở rộng Rilide Stealer
Trustwave đã phát hiện hai chiến dịch phân phối Rilide riêng biệt. Chiến dịch đầu tiên các tin tặc đã phát tán phần mở rộng độc hại bằng cách sử dụng trojan truy cập từ xa Ekipa (RAT). Chiến dịch sau đó là sử dụng Google Ads và phần mềm độc hại Aurora Stealer để phát tán tiện ích mở rộng bằng trình tải Rust.
Hai chiến dịch phân phối Rilide
Chiến dịch 1: Ekipa RAT cài đặt Rilide Stealer
Một trong những mẫu Rilide được Trustwave xác định đã được phân phối thông qua tệp Microsoft Publisher độc hại. Tệp này là một phần của Ekipa RAT, một trojan truy cập từ xa được thiết kế cho các cuộc tấn công có chủ đích và thường được bán trên các diễn đàn ngầm.
Cần lưu ý rằng Microsoft Publisher không bị ảnh hưởng bởi quyết định của Microsoft về việc chặn macro thực thi các tệp được tải xuống từ Internet. Do đó, khi người dùng cố mở tệp Publisher, họ sẽ nhận được cảnh báo nhưng vẫn có thể cho phép thực thi nội dung độc hại bằng cách nhấp vào nút “Enable Macro”.
Ba tập lệnh đã được cấu hình trên máy chủ C2, bao gồm:
Trong đó, tệp “2.exe” là trình tải dựa trên Rust, chịu trách nhiệm cài đặt tiện ích mở rộng Rilide cho trình duyệt dựa trên Chromium.
Vào ngày 14/2/2023, Microsoft đã phát hành một bản cập nhật nhằm giải quyết lỗ hổng bảo mật dành cho Microsoft Publisher. Với việc triển khai tính năng “Mark of the Web” trên tệp .pub, giờ đây người dùng chỉ còn lại một tùy chọn, đó là “Disable Macro”.
Bất kỳ mối liên hệ nào giữa các tin tặc đứng đằng sau Ekipa RAT và những kẻ sử dụng trình đánh cắp thông tin Rilide vẫn chưa rõ ràng. Tuy nhiên, có khả năng Ekipa RAT đã được thử nghiệm như một phương tiện phân phối cho Rilide, trước khi chuyển sang trình đánh cắp Aurora.
Chiến dịch 2: Aurora Stealer lạm dụng Google Ads
Aurora là một trình đánh cắp thông tin dựa trên Go, ban đầu được phát hiện đang được quảng cáo vào tháng 4/2022 dưới dạng Dịch vụ phần mềm độc hại (MaaS) trên các diễn đàn ngầm nói tiếng Nga. Phần mềm độc hại được thiết kế để nhắm mục tiêu dữ liệu từ nhiều trình duyệt web, ví tiền điện tử và các hệ thống cục bộ.
Gần đây, các nhà nghiên cứu đã quan sát thấy Aurora đang lạm dụng nền tảng Google Ads để phát tán phần mềm độc hại. Công ty bảo mật Cyble cho biết, các chiến dịch bắt chước trình cài đặt Team Viewer hợp pháp đã được sử dụng để triển khai Aurora. Theo báo cáo của nhà nghiên cứu Germán Fernández và nhóm bảo mật MalwareHunterTeam, Aurora cũng được phân phối qua một chiến dịch khác bắt chước trình cài đặt Trình điều khiển NVIDIA. Một mẫu đã tải xuống được đóng gói với Themida, một trình bảo vệ thương mại nổi tiếng dành cho các tệp thực thi.
Chiến dịch Aurora bắt chước trình cài đặt Trình điều khiển NVIDIA
Liên kết chung giữa hai chiến dịch
Các mẫu trình tải dựa trên Rilide Rust được phân tích như một phần của chiến dịch Aurora được đóng gói bằng VMProtect. Sau khi giải nén các mẫu và phân tích các chuỗi có trong tệp nhị phân, các nhà nghiên cứu đã tìm thấy nhiều tham chiếu đến các đường dẫn Windows trong thư mục C:\Users\ilide\. Tên người dùng tương tự đã được tìm thấy trong đường dẫn PDB của mẫu Rilide thu được từ chiến dịch RAT của Ekipa.
Cùng một tên người dùng trong một đường dẫn được tìm thấy trong các mẫu trình tải dựa trên Rilide Rust từ cả hai chiến dịch
Tiện ích mở rộng Rilide Stealer trên các trình duyệt dựa trên Chromium
Rilide tận dụng trình tải Rust được sử dụng để cài đặt tiện ích mở rộng nếu phát hiện thấy trình duyệt dựa trên Chromium. Trình tải của Rilide sửa đổi các tệp lối tắt LNK của trình duyệt web được nhắm mục tiêu để chúng được thực thi với tham số --load-extension trỏ đến tiện ích mở rộng Rilide độc hại bị loại bỏ trên hệ thống bị xâm nhập.
Tiện ích mở rộng độc hại trên Edge
Khi thực thi, phần mềm độc hại sẽ chạy một tập lệnh để đính kèm một trình lắng nghe theo dõi khi nạn nhân chuyển tab, nhận nội dung web hoặc tải xong các trang web. Nó cũng kiểm tra xem trang web hiện tại có khớp với danh sách các mục tiêu có sẵn từ máy chủ chỉ huy và kiểm soát (C2) hay không.
Nếu trùng khớp, tiện ích mở rộng sẽ tải các tập lệnh bổ sung được đưa vào trang web để đánh cắp thông tin nạn nhân liên quan đến tiền điện tử, thông tin đăng nhập tài khoản email,…
Danh sách cấu hình chỉ ra các mục tiêu như dịch vụ email và trao đổi tiền điện tử
Tiện ích mở rộng cũng vô hiệu hóa “Chính sách bảo mật nội dung (Content Security Policy - CSP)” - một tính năng bảo mật được thiết kế để bảo vệ chống lại các cuộc tấn công XSS, để cho phép tải các tài nguyên bên ngoài mà CSP thường chặn.
Ngoài ra, tiện ích mở rộng sẽ thực hiện kiểm tra thường xuyên đối với lịch sử duyệt web và lọc ra các URL phù hợp với danh sách tên miền được nhắm mục tiêu. Hơn nữa, nó có khả năng chụp ảnh màn hình và gửi chúng đến máy chủ C2 do tin tặc kiểm soát.
Luồng thực thi và chức năng của Rilide Stealer
Vượt qua xác thực hai yếu tố
Một tính năng đặc biệt trong Rilide là khả năng vượt qua xác thực hai yếu tố, sử dụng các hộp thoại giả mạo để đánh lừa nạn nhân nhập mã tạm thời của họ.
Hệ thống được kích hoạt khi nạn nhân bắt đầu yêu cầu rút tiền điện tử tới một dịch vụ trao đổi mà Rilide nhắm mục tiêu. Phần mềm độc hại sẽ đưa tập lệnh vào nền và xử lý yêu cầu tự động. Sau khi người dùng nhập mã của họ vào hộp thoại giả mạo, Rilide sẽ sử dụng mã đó để hoàn tất quy trình rút tiền đến địa chỉ ví của tin tặc.
“Các xác nhận email cũng được thay thế nhanh chóng nếu người dùng vào hộp thư bằng cùng một trình duyệt web. Email yêu cầu rút tiền sẽ được thay thế bằng một email khác để đánh lừa người dùng cung cấp mã ủy quyền xác thực”, Trustwave cho biết.
Nội dung của email gốc và giả mạo
Rilide là một ví dụ điển hình cho thấy sự phức tạp và tinh vi ngày càng tăng của các tiện ích mở rộng trình duyệt độc hại và những mối nguy hiểm mà chúng gây ra.
Mặc dù việc triển khai nền tảng manifest v3 trên tất cả các trình duyệt dựa trên Chromium có thể cải thiện khả năng chống lại các tiện ích mở rộng độc hại, nhưng Trustwave nhận xét rằng nó sẽ không loại bỏ hoàn toàn được vấn đề.
Các nhà nghiên cứu đưa ra lời khuyên đến người dùng cần phải cảnh giác và thận trọng khi nhận được email hoặc tin nhắn không mong muốn và không bao giờ cho rằng bất kỳ nội dung nào trên Internet là an toàn..Điều quan trọng nhất là phải cập nhật thông tin thường xuyên về các mối đe dọa an ninh mạng và các phương pháp bảo vệ mới nhất để giảm thiểu nguy cơ trở thành nạn nhân của các cuộc tấn công lừa đảo.
Hồng Đạt
(Trustwave)
16:00 | 19/12/2023
10:00 | 27/03/2023
09:00 | 25/12/2023
14:00 | 21/11/2022
10:00 | 19/09/2022
09:00 | 06/03/2024
Khoảng 22h20' ngày 5/3 (giờ Việt Nam), nhiều người dùng mạng xã hội của Facebook tại Việt Nam đã không thể truy cập được vào tài khoản của mình.
14:00 | 23/02/2024
Nhóm tin tặc mã độc tống tiền BlackCat đã bắt đầu lạm dụng các quy tắc báo cáo sự cố mạng của Ủy ban Chứng khoán và Giao dịch Mỹ (SEC) để gây áp lực lên các tổ chức từ chối đàm phán thanh toán tiền chuộc. Những kẻ tấn công đã nộp đơn khiếu nại lên SEC đối với một nạn nhân, trong một động thái có thể sẽ trở thành thông lệ sau khi các quy định mới đã có hiệu lực vào giữa tháng 12.
16:00 | 01/02/2024
Hòa chung khí thế tưng bừng, phấn khởi của cả nước kỷ niệm 94 năm Ngày thành lập Đảng Cộng sản Việt Nam và chào đón Xuân Giáp Thìn 2024, sáng ngày 01/02, tại Hà Nội, Trung tâm Công nghệ thông tin và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ long trọng tổ chức Lễ kỷ niệm 20 năm Ngày truyền thống của Trung tâm (05/02/2004 - 05/02/2024) và đón nhận Bằng khen của Thủ tướng Chính phủ.
09:00 | 29/01/2024
Chính phủ Mỹ, Anh và Úc đã công bố các biện pháp trừng phạt đối với Aleksandr Gennadievich Ermkov (thành viên của nhóm tin tặc REvil) - người chịu trách nhiệm về vụ tấn công sử dụng mã độc tống tiền vào Medibank năm 2022.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Ngày 16/4, nhà sản xuất linh kiện bán dẫn tích hợp đa quốc gia AMD đã giới thiệu chip mới mới dành cho máy tính xách tay và máy tính để bàn hỗ trợ trí tuệ nhân tạo (AI), khi các nhà thiết kế chip này tìm cách mở rộng thị phần của mình trên thị trường máy tính sử dụng AI (PC AI).
09:00 | 03/05/2024
