資安業者Trustwave SpiderLabs本周揭露了一個相準Chromium瀏覽器的惡意擴充程式Rilide,它偽裝成合法的Google Drive擴充功能,在進駐瀏覽器之後於背景執行各種惡意活動,目的是騙取使用者的雙因素認證碼,以盜走加密貨幣。
圖片來源/Trustwave
迄今Trustwave SpiderLabs發現Rilide有兩種感染管道,一是藉由微軟的桌面出版程式Microsoft Publisher來散布惡意檔案,包括Ekipa遠端存取木馬,當使用者開啟Ekipa,它即會連結到駭客所控制的C&C伺服器,進而下載、執行與安裝Rilide。
二是藉由Google廣告來誘導使用者下載Aurora資料竊取工具,Aurora可能假冒為Team Viewer或Nvidia驅動程式的安裝程式,最終則被用來安裝Rilide。
圖片來源/Trustwave
Rilide會偵測受害者所使用的瀏覽器,並只影響Google Chrome、Microsoft Edge、Brave及Opera等基於Chromium專案的瀏覽器,它會監控使用者的瀏覽歷史紀錄、擅自進行螢幕截圖,也會注射惡意腳本程式來盜走不同加密貨幣平臺上的使用者資產。
Rilide可於背景偷偷盜領受害者的加密貨幣,在送出提款請求之後,把使用者所收到的電子郵件確認信件換成裝置認證請求,以誘導使用者輸入雙因素認證碼。
雪上加霜的是,Rilide原本只在地下論壇兜售,但由於一起付款糾紛,疑似有買家公開了Rilide的原始碼連結,而使得黑市中出現了愈來愈多類似的惡意擴充程式,使用者的自保之道無非是儘量避免下載及安裝來路不明的各種檔案。
熱門新聞
2024-05-06
2024-05-06
2024-05-06
2024-05-06
2024-05-07
2024-05-06
2024-05-06