Rilide được ngụy trang dưới dạng tiện ích mở rộng hợp pháp của Google Drive để ẩn mình trong khi lạm dụng các chức năng tích hợp sẵn của Chrome, cho phép các tin tặc có thể theo dõi lịch sử duyệt web, chụp ảnh màn hình và đánh cắp tiền điện tử bằng việc chèn các tập lệnh độc hại vào các trang web.
Rilide không phải là phần mềm độc hại đầu tiên mà Trustwave đã quan sát thấy bằng cách sử dụng các tiện ích mở rộng trình duyệt độc hại. Điểm khác biệt của phần mềm độc hại này là nó có khả năng sử dụng hiệu quả các hộp thoại giả mạo để đánh lừa người dùng tiết lộ mã xác thực hai yếu tố (2FA) của họ để rút tiền điện tử.
Mặc dù nguồn gốc của Rilide chưa được xác định, nhưng Trustwave cho biết đã phát hiện ra các tiện ích mở rộng trình duyệt tương tự đang được rao bán. Đồng thời, một phần mã nguồn của nó gần đây đã bị rò rỉ trên một diễn đàn ngầm do tranh chấp giữa các tin tặc về khoản thanh toán chưa được giải quyết.
Các chiến dịch độc hại dẫn đến tiện ích mở rộng Rilide Stealer
Trustwave đã phát hiện hai chiến dịch phân phối Rilide riêng biệt. Chiến dịch đầu tiên các tin tặc đã phát tán phần mở rộng độc hại bằng cách sử dụng trojan truy cập từ xa Ekipa (RAT). Chiến dịch sau đó là sử dụng Google Ads và phần mềm độc hại Aurora Stealer để phát tán tiện ích mở rộng bằng trình tải Rust.
Hai chiến dịch phân phối Rilide
Chiến dịch 1: Ekipa RAT cài đặt Rilide Stealer
Một trong những mẫu Rilide được Trustwave xác định đã được phân phối thông qua tệp Microsoft Publisher độc hại. Tệp này là một phần của Ekipa RAT, một trojan truy cập từ xa được thiết kế cho các cuộc tấn công có chủ đích và thường được bán trên các diễn đàn ngầm.
Cần lưu ý rằng Microsoft Publisher không bị ảnh hưởng bởi quyết định của Microsoft về việc chặn macro thực thi các tệp được tải xuống từ Internet. Do đó, khi người dùng cố mở tệp Publisher, họ sẽ nhận được cảnh báo nhưng vẫn có thể cho phép thực thi nội dung độc hại bằng cách nhấp vào nút “Enable Macro”.
Ba tập lệnh đã được cấu hình trên máy chủ C2, bao gồm:
Trong đó, tệp “2.exe” là trình tải dựa trên Rust, chịu trách nhiệm cài đặt tiện ích mở rộng Rilide cho trình duyệt dựa trên Chromium.
Vào ngày 14/2/2023, Microsoft đã phát hành một bản cập nhật nhằm giải quyết lỗ hổng bảo mật dành cho Microsoft Publisher. Với việc triển khai tính năng “Mark of the Web” trên tệp .pub, giờ đây người dùng chỉ còn lại một tùy chọn, đó là “Disable Macro”.
Bất kỳ mối liên hệ nào giữa các tin tặc đứng đằng sau Ekipa RAT và những kẻ sử dụng trình đánh cắp thông tin Rilide vẫn chưa rõ ràng. Tuy nhiên, có khả năng Ekipa RAT đã được thử nghiệm như một phương tiện phân phối cho Rilide, trước khi chuyển sang trình đánh cắp Aurora.
Chiến dịch 2: Aurora Stealer lạm dụng Google Ads
Aurora là một trình đánh cắp thông tin dựa trên Go, ban đầu được phát hiện đang được quảng cáo vào tháng 4/2022 dưới dạng Dịch vụ phần mềm độc hại (MaaS) trên các diễn đàn ngầm nói tiếng Nga. Phần mềm độc hại được thiết kế để nhắm mục tiêu dữ liệu từ nhiều trình duyệt web, ví tiền điện tử và các hệ thống cục bộ.
Gần đây, các nhà nghiên cứu đã quan sát thấy Aurora đang lạm dụng nền tảng Google Ads để phát tán phần mềm độc hại. Công ty bảo mật Cyble cho biết, các chiến dịch bắt chước trình cài đặt Team Viewer hợp pháp đã được sử dụng để triển khai Aurora. Theo báo cáo của nhà nghiên cứu Germán Fernández và nhóm bảo mật MalwareHunterTeam, Aurora cũng được phân phối qua một chiến dịch khác bắt chước trình cài đặt Trình điều khiển NVIDIA. Một mẫu đã tải xuống được đóng gói với Themida, một trình bảo vệ thương mại nổi tiếng dành cho các tệp thực thi.
Chiến dịch Aurora bắt chước trình cài đặt Trình điều khiển NVIDIA
Liên kết chung giữa hai chiến dịch
Các mẫu trình tải dựa trên Rilide Rust được phân tích như một phần của chiến dịch Aurora được đóng gói bằng VMProtect. Sau khi giải nén các mẫu và phân tích các chuỗi có trong tệp nhị phân, các nhà nghiên cứu đã tìm thấy nhiều tham chiếu đến các đường dẫn Windows trong thư mục C:\Users\ilide\. Tên người dùng tương tự đã được tìm thấy trong đường dẫn PDB của mẫu Rilide thu được từ chiến dịch RAT của Ekipa.
Cùng một tên người dùng trong một đường dẫn được tìm thấy trong các mẫu trình tải dựa trên Rilide Rust từ cả hai chiến dịch
Tiện ích mở rộng Rilide Stealer trên các trình duyệt dựa trên Chromium
Rilide tận dụng trình tải Rust được sử dụng để cài đặt tiện ích mở rộng nếu phát hiện thấy trình duyệt dựa trên Chromium. Trình tải của Rilide sửa đổi các tệp lối tắt LNK của trình duyệt web được nhắm mục tiêu để chúng được thực thi với tham số --load-extension trỏ đến tiện ích mở rộng Rilide độc hại bị loại bỏ trên hệ thống bị xâm nhập.
Tiện ích mở rộng độc hại trên Edge
Khi thực thi, phần mềm độc hại sẽ chạy một tập lệnh để đính kèm một trình lắng nghe theo dõi khi nạn nhân chuyển tab, nhận nội dung web hoặc tải xong các trang web. Nó cũng kiểm tra xem trang web hiện tại có khớp với danh sách các mục tiêu có sẵn từ máy chủ chỉ huy và kiểm soát (C2) hay không.
Nếu trùng khớp, tiện ích mở rộng sẽ tải các tập lệnh bổ sung được đưa vào trang web để đánh cắp thông tin nạn nhân liên quan đến tiền điện tử, thông tin đăng nhập tài khoản email,…
Danh sách cấu hình chỉ ra các mục tiêu như dịch vụ email và trao đổi tiền điện tử
Tiện ích mở rộng cũng vô hiệu hóa “Chính sách bảo mật nội dung (Content Security Policy - CSP)” - một tính năng bảo mật được thiết kế để bảo vệ chống lại các cuộc tấn công XSS, để cho phép tải các tài nguyên bên ngoài mà CSP thường chặn.
Ngoài ra, tiện ích mở rộng sẽ thực hiện kiểm tra thường xuyên đối với lịch sử duyệt web và lọc ra các URL phù hợp với danh sách tên miền được nhắm mục tiêu. Hơn nữa, nó có khả năng chụp ảnh màn hình và gửi chúng đến máy chủ C2 do tin tặc kiểm soát.
Luồng thực thi và chức năng của Rilide Stealer
Vượt qua xác thực hai yếu tố
Một tính năng đặc biệt trong Rilide là khả năng vượt qua xác thực hai yếu tố, sử dụng các hộp thoại giả mạo để đánh lừa nạn nhân nhập mã tạm thời của họ.
Hệ thống được kích hoạt khi nạn nhân bắt đầu yêu cầu rút tiền điện tử tới một dịch vụ trao đổi mà Rilide nhắm mục tiêu. Phần mềm độc hại sẽ đưa tập lệnh vào nền và xử lý yêu cầu tự động. Sau khi người dùng nhập mã của họ vào hộp thoại giả mạo, Rilide sẽ sử dụng mã đó để hoàn tất quy trình rút tiền đến địa chỉ ví của tin tặc.
“Các xác nhận email cũng được thay thế nhanh chóng nếu người dùng vào hộp thư bằng cùng một trình duyệt web. Email yêu cầu rút tiền sẽ được thay thế bằng một email khác để đánh lừa người dùng cung cấp mã ủy quyền xác thực”, Trustwave cho biết.
Nội dung của email gốc và giả mạo
Rilide là một ví dụ điển hình cho thấy sự phức tạp và tinh vi ngày càng tăng của các tiện ích mở rộng trình duyệt độc hại và những mối nguy hiểm mà chúng gây ra.
Mặc dù việc triển khai nền tảng manifest v3 trên tất cả các trình duyệt dựa trên Chromium có thể cải thiện khả năng chống lại các tiện ích mở rộng độc hại, nhưng Trustwave nhận xét rằng nó sẽ không loại bỏ hoàn toàn được vấn đề.
Các nhà nghiên cứu đưa ra lời khuyên đến người dùng cần phải cảnh giác và thận trọng khi nhận được email hoặc tin nhắn không mong muốn và không bao giờ cho rằng bất kỳ nội dung nào trên Internet là an toàn..Điều quan trọng nhất là phải cập nhật thông tin thường xuyên về các mối đe dọa an ninh mạng và các phương pháp bảo vệ mới nhất để giảm thiểu nguy cơ trở thành nạn nhân của các cuộc tấn công lừa đảo.
Hồng Đạt
(Trustwave)
16:00 | 19/12/2023
10:00 | 27/03/2023
09:00 | 25/12/2023
14:00 | 21/11/2022
10:00 | 19/09/2022
10:00 | 06/09/2024
“Gã khổng lồ công nghệ” Meta, công ty mẹ của Facebook và Instagram vừa phải nộp phạt 36 triệu USD tại Brazil vì không kiểm soát được tình trạng quảng cáo lừa đảo tràn lan trên nền tảng của mình. Đây là một đòn giáng mạnh vào uy tín của Meta và đặt ra câu hỏi về trách nhiệm của các công ty công nghệ trong việc bảo vệ người dùng khỏi các chiêu trò lừa đảo trực tuyến.
09:00 | 05/09/2024
Trong 02 ngày 07-08/9/2024, tại Hà Nội, sẽ diễn ra Hội thảo UEC Đông Nam Á lần thứ 11 và Hội thảo chuyên ngành UEC lần thứ 6 năm 2024. Đây là Hội thảo thường niên của Trường UEC Nhật Bản tổ chức về tin học, điện tử viễn thông và định hướng hợp tác với các tổ chức, trường đại học, viện nghiên cứu của Việt Nam cũng như các nước trong khu vực Đông Nam Á.
14:00 | 28/08/2024
Sáng ngày 28/8, tại Hà Nội, Bộ Tham mưu Bộ đội Biên phòng tổ chức khai mạc Hội thi Kỹ thuật nghiệp vụ mật mã lần thứ 16 và tập huấn cán bộ cơ yếu Bộ đội Biên phòng năm 2024. Thiếu tướng Hoàng Văn Quân, Cục trưởng Cục Cơ yếu Bộ Tổng Tham mưu đến dự và chỉ đạo.
14:00 | 29/07/2024
Các cơ quan an ninh mạng từ Úc, Canada, Đức, Nhật Bản, New Zealand, Hàn Quốc, Anh và Mỹ đã đưa ra khuyến cáo chung về một nhóm gián điệp mạng có mối liên hệ với Trung Quốc có tên là APT40. Các nước này đã cảnh báo về khả năng nhóm gián điệp này có thể khai thác các hoạt động mới, tiết lộ các lỗ hổng bảo mật trong vòng vài giờ hoặc vài ngày kể từ khi phát hành công khai.
Việc xử lý các đơn vị quảng cáo sử dụng tên định danh được cấp để phát tán tin nhắn, cuộc gọi rác là biện pháp đang được Bộ Thông tin và Truyền thông (TT&TT) thực hiện để bảo vệ người dùng dịch vụ viễn thông.
14:00 | 17/09/2024
Chương trình “Vinh quang thầm lặng 2024” do Ban Cơ yếu Chính phủ chỉ đạo, Tạp chí An toàn thông tin phối hợp với Oscar Media tổ chức đặc biệt chào mừng Kỷ niệm 80 năm ngày thành lập QĐND Việt Nam (22/12/1944-22/12/2024), 35 năm Ngày Quốc phòng toàn dân (22/12/1989-22/12/2024) và Kỷ niệm 79 năm Ngày thành lập ngành Cơ yếu Việt Nam (12/9/1945-12/9/2024). Chương trình diễn ra tại Trung tâm Hội nghị Quốc gia Hà Nội ngày 06/9/2024, phát sóng trực tiếp trên kênh Truyền hình Quốc phòng Việt Nam, với sự tài trợ chính của Công ty Cổ phần Sản xuất và Kinh doanh VinFast.
10:00 | 10/09/2024
Ngày 10/9 vừa qua, Microsoft đã tổ chức một hội nghị thượng đỉnh để thảo luận về các bước cải thiện hệ thống an ninh mạng, sau khi bản cập nhật phần mềm bị lỗi từ CrowdStrike đã gây ra sự cố gián đoạn công nghệ thông tin phạm vi toàn cầu vào tháng 7.
09:00 | 17/09/2024