Rilide được ngụy trang dưới dạng tiện ích mở rộng hợp pháp của Google Drive để ẩn mình trong khi lạm dụng các chức năng tích hợp sẵn của Chrome, cho phép các tin tặc có thể theo dõi lịch sử duyệt web, chụp ảnh màn hình và đánh cắp tiền điện tử bằng việc chèn các tập lệnh độc hại vào các trang web.
Rilide không phải là phần mềm độc hại đầu tiên mà Trustwave đã quan sát thấy bằng cách sử dụng các tiện ích mở rộng trình duyệt độc hại. Điểm khác biệt của phần mềm độc hại này là nó có khả năng sử dụng hiệu quả các hộp thoại giả mạo để đánh lừa người dùng tiết lộ mã xác thực hai yếu tố (2FA) của họ để rút tiền điện tử.
Mặc dù nguồn gốc của Rilide chưa được xác định, nhưng Trustwave cho biết đã phát hiện ra các tiện ích mở rộng trình duyệt tương tự đang được rao bán. Đồng thời, một phần mã nguồn của nó gần đây đã bị rò rỉ trên một diễn đàn ngầm do tranh chấp giữa các tin tặc về khoản thanh toán chưa được giải quyết.
Các chiến dịch độc hại dẫn đến tiện ích mở rộng Rilide Stealer
Trustwave đã phát hiện hai chiến dịch phân phối Rilide riêng biệt. Chiến dịch đầu tiên các tin tặc đã phát tán phần mở rộng độc hại bằng cách sử dụng trojan truy cập từ xa Ekipa (RAT). Chiến dịch sau đó là sử dụng Google Ads và phần mềm độc hại Aurora Stealer để phát tán tiện ích mở rộng bằng trình tải Rust.
Hai chiến dịch phân phối Rilide
Chiến dịch 1: Ekipa RAT cài đặt Rilide Stealer
Một trong những mẫu Rilide được Trustwave xác định đã được phân phối thông qua tệp Microsoft Publisher độc hại. Tệp này là một phần của Ekipa RAT, một trojan truy cập từ xa được thiết kế cho các cuộc tấn công có chủ đích và thường được bán trên các diễn đàn ngầm.
Cần lưu ý rằng Microsoft Publisher không bị ảnh hưởng bởi quyết định của Microsoft về việc chặn macro thực thi các tệp được tải xuống từ Internet. Do đó, khi người dùng cố mở tệp Publisher, họ sẽ nhận được cảnh báo nhưng vẫn có thể cho phép thực thi nội dung độc hại bằng cách nhấp vào nút “Enable Macro”.
Ba tập lệnh đã được cấu hình trên máy chủ C2, bao gồm:
Trong đó, tệp “2.exe” là trình tải dựa trên Rust, chịu trách nhiệm cài đặt tiện ích mở rộng Rilide cho trình duyệt dựa trên Chromium.
Vào ngày 14/2/2023, Microsoft đã phát hành một bản cập nhật nhằm giải quyết lỗ hổng bảo mật dành cho Microsoft Publisher. Với việc triển khai tính năng “Mark of the Web” trên tệp .pub, giờ đây người dùng chỉ còn lại một tùy chọn, đó là “Disable Macro”.
Bất kỳ mối liên hệ nào giữa các tin tặc đứng đằng sau Ekipa RAT và những kẻ sử dụng trình đánh cắp thông tin Rilide vẫn chưa rõ ràng. Tuy nhiên, có khả năng Ekipa RAT đã được thử nghiệm như một phương tiện phân phối cho Rilide, trước khi chuyển sang trình đánh cắp Aurora.
Chiến dịch 2: Aurora Stealer lạm dụng Google Ads
Aurora là một trình đánh cắp thông tin dựa trên Go, ban đầu được phát hiện đang được quảng cáo vào tháng 4/2022 dưới dạng Dịch vụ phần mềm độc hại (MaaS) trên các diễn đàn ngầm nói tiếng Nga. Phần mềm độc hại được thiết kế để nhắm mục tiêu dữ liệu từ nhiều trình duyệt web, ví tiền điện tử và các hệ thống cục bộ.
Gần đây, các nhà nghiên cứu đã quan sát thấy Aurora đang lạm dụng nền tảng Google Ads để phát tán phần mềm độc hại. Công ty bảo mật Cyble cho biết, các chiến dịch bắt chước trình cài đặt Team Viewer hợp pháp đã được sử dụng để triển khai Aurora. Theo báo cáo của nhà nghiên cứu Germán Fernández và nhóm bảo mật MalwareHunterTeam, Aurora cũng được phân phối qua một chiến dịch khác bắt chước trình cài đặt Trình điều khiển NVIDIA. Một mẫu đã tải xuống được đóng gói với Themida, một trình bảo vệ thương mại nổi tiếng dành cho các tệp thực thi.
Chiến dịch Aurora bắt chước trình cài đặt Trình điều khiển NVIDIA
Liên kết chung giữa hai chiến dịch
Các mẫu trình tải dựa trên Rilide Rust được phân tích như một phần của chiến dịch Aurora được đóng gói bằng VMProtect. Sau khi giải nén các mẫu và phân tích các chuỗi có trong tệp nhị phân, các nhà nghiên cứu đã tìm thấy nhiều tham chiếu đến các đường dẫn Windows trong thư mục C:\Users\ilide\. Tên người dùng tương tự đã được tìm thấy trong đường dẫn PDB của mẫu Rilide thu được từ chiến dịch RAT của Ekipa.
Cùng một tên người dùng trong một đường dẫn được tìm thấy trong các mẫu trình tải dựa trên Rilide Rust từ cả hai chiến dịch
Tiện ích mở rộng Rilide Stealer trên các trình duyệt dựa trên Chromium
Rilide tận dụng trình tải Rust được sử dụng để cài đặt tiện ích mở rộng nếu phát hiện thấy trình duyệt dựa trên Chromium. Trình tải của Rilide sửa đổi các tệp lối tắt LNK của trình duyệt web được nhắm mục tiêu để chúng được thực thi với tham số --load-extension trỏ đến tiện ích mở rộng Rilide độc hại bị loại bỏ trên hệ thống bị xâm nhập.
Tiện ích mở rộng độc hại trên Edge
Khi thực thi, phần mềm độc hại sẽ chạy một tập lệnh để đính kèm một trình lắng nghe theo dõi khi nạn nhân chuyển tab, nhận nội dung web hoặc tải xong các trang web. Nó cũng kiểm tra xem trang web hiện tại có khớp với danh sách các mục tiêu có sẵn từ máy chủ chỉ huy và kiểm soát (C2) hay không.
Nếu trùng khớp, tiện ích mở rộng sẽ tải các tập lệnh bổ sung được đưa vào trang web để đánh cắp thông tin nạn nhân liên quan đến tiền điện tử, thông tin đăng nhập tài khoản email,…
Danh sách cấu hình chỉ ra các mục tiêu như dịch vụ email và trao đổi tiền điện tử
Tiện ích mở rộng cũng vô hiệu hóa “Chính sách bảo mật nội dung (Content Security Policy - CSP)” - một tính năng bảo mật được thiết kế để bảo vệ chống lại các cuộc tấn công XSS, để cho phép tải các tài nguyên bên ngoài mà CSP thường chặn.
Ngoài ra, tiện ích mở rộng sẽ thực hiện kiểm tra thường xuyên đối với lịch sử duyệt web và lọc ra các URL phù hợp với danh sách tên miền được nhắm mục tiêu. Hơn nữa, nó có khả năng chụp ảnh màn hình và gửi chúng đến máy chủ C2 do tin tặc kiểm soát.
Luồng thực thi và chức năng của Rilide Stealer
Vượt qua xác thực hai yếu tố
Một tính năng đặc biệt trong Rilide là khả năng vượt qua xác thực hai yếu tố, sử dụng các hộp thoại giả mạo để đánh lừa nạn nhân nhập mã tạm thời của họ.
Hệ thống được kích hoạt khi nạn nhân bắt đầu yêu cầu rút tiền điện tử tới một dịch vụ trao đổi mà Rilide nhắm mục tiêu. Phần mềm độc hại sẽ đưa tập lệnh vào nền và xử lý yêu cầu tự động. Sau khi người dùng nhập mã của họ vào hộp thoại giả mạo, Rilide sẽ sử dụng mã đó để hoàn tất quy trình rút tiền đến địa chỉ ví của tin tặc.
“Các xác nhận email cũng được thay thế nhanh chóng nếu người dùng vào hộp thư bằng cùng một trình duyệt web. Email yêu cầu rút tiền sẽ được thay thế bằng một email khác để đánh lừa người dùng cung cấp mã ủy quyền xác thực”, Trustwave cho biết.
Nội dung của email gốc và giả mạo
Rilide là một ví dụ điển hình cho thấy sự phức tạp và tinh vi ngày càng tăng của các tiện ích mở rộng trình duyệt độc hại và những mối nguy hiểm mà chúng gây ra.
Mặc dù việc triển khai nền tảng manifest v3 trên tất cả các trình duyệt dựa trên Chromium có thể cải thiện khả năng chống lại các tiện ích mở rộng độc hại, nhưng Trustwave nhận xét rằng nó sẽ không loại bỏ hoàn toàn được vấn đề.
Các nhà nghiên cứu đưa ra lời khuyên đến người dùng cần phải cảnh giác và thận trọng khi nhận được email hoặc tin nhắn không mong muốn và không bao giờ cho rằng bất kỳ nội dung nào trên Internet là an toàn..Điều quan trọng nhất là phải cập nhật thông tin thường xuyên về các mối đe dọa an ninh mạng và các phương pháp bảo vệ mới nhất để giảm thiểu nguy cơ trở thành nạn nhân của các cuộc tấn công lừa đảo.
Hồng Đạt
(Trustwave)
16:00 | 19/12/2023
10:00 | 27/03/2023
09:00 | 25/12/2023
14:00 | 24/09/2024
14:00 | 21/11/2022
14:00 | 20/11/2024
13:00 | 03/01/2025
10:00 | 19/09/2022
14:00 | 24/01/2025
10:00 | 06/02/2025
Trong kỳ nghỉ Tết Ất Tỵ 2025, hệ thống kỹ thuật của Cục An toàn thông tin (Bộ TT&TT) không ghi nhận việc xảy ra các sự cố tấn công mạng gây hậu quả nghiêm trọng. Tuy nhiên trong đợt nghỉ Tết Nguyên đán 2025 kéo dài 9 ngày vừa qua, cơ quan này đã phát hiện 105 cuộc tấn công mạng chủ yếu theo hình thức tấn công lừa đảo.
08:00 | 02/01/2025
Tháng 12/2024, Ban Công nghệ, Hiệp hội An ninh mạng quốc gia đã thực hiện khảo sát tại 4.935 cơ quan, doanh nghiệp tại Việt Nam. Từ đó, đưa ra báo cáo với những số liệu chi tiết, nổi bật là các vấn đề liên quan đến tình hình an ninh mạng mà các cơ quan, doanh nghiệp đang gặp phải trong năm vừa qua, đồng thời đưa ra những khuyến nghị và các giải pháp khắc phục. Dưới đây là các thông tin chi tiết của báo cáo.
16:00 | 06/12/2024
Với việc đưa Telegram vào danh sách hợp tác, Ủy ban tiêu chuẩn truyền thông Hàn Quốc có thể yêu cầu nền tảng này xử lý các nội dung xấu, độc như bóc lột tình dục và ma túy.
16:00 | 25/11/2024
Sáng ngày 25/11/2024, tại Hà Nội, Báo điện tử Đảng Cộng sản Việt Nam phối hợp với Tổng cục Quản lý thị trường, Tổng cục Hải quan, Hiệp hội Chống hàng giả và bảo vệ thương hiệu Việt Nam, Cục Sở hữu trí tuệ, Công ty cổ phần VNET và các cơ quan, đơn vị liên quan tổ chức lễ phát động Cuộc thi "Chống hàng giả và lừa đảo trực tuyến" và Chương trình trao thưởng “Cào tem chống giả - Nhận ngay may mắn”.
Nền tảng truyền thông xã hội Bluesky với cách thức hoạt động tương tự X (trước đây là Twitter) hiện đang trở thành sự lựa chọn ngày càng phổ biến trong cộng đồng khoa học.
09:00 | 03/02/2025
Khép lại năm 2024, Lãnh đạo Ban Cơ yếu Chính phủ, cấp ủy, lãnh đạo các cấp trong toàn lực lượng cơ yếu, nhất là đội ngũ cán bộ chủ chốt đã chủ động bám sát yêu cầu nhiệm vụ và thực tiễn, cùng với sự nỗ lực rất lớn của toàn thể cán bộ, nhân viên ngành Cơ yếu Việt Nam tổ chức triển khai đồng bộ, toàn diện trên các mặt công tác, hoàn thành tốt nhiệm vụ được giao, trong đó có nhiều nhiệm vụ hoàn thành xuất sắc, tiếp tục khẳng định vị thế, vai trò đặc biệt quan trọng của hoạt động cơ yếu. Dưới đây là 10 dấu ấn nổi bật trong năm 2024 của ngành Cơ yếu Việt Nam.
08:00 | 29/01/2025
ByteDance - công ty mẹ TikTok vừa giới thiệu mô hình trí tuệ nhân tạo (AI) mới có tên OmniHuman-1, có khả năng sản xuất video deepfake mà người dùng thông thường gần như không thể phân biệt với video thật.
08:00 | 07/02/2025