Rilide được ngụy trang dưới dạng tiện ích mở rộng hợp pháp của Google Drive để ẩn mình trong khi lạm dụng các chức năng tích hợp sẵn của , cho phép các tin tặc có thể theo dõi lịch sử duyệt web, chụp ảnh màn hình và đánh cắp bằng việc chèn các tập lệnh độc hại vào các trang web.
Rilide không phải là phần mềm độc hại đầu tiên mà Trustwave đã quan sát thấy bằng cách sử dụng các tiện ích mở rộng trình duyệt độc hại. Điểm khác biệt của phần mềm độc hại này là nó có khả năng sử dụng hiệu quả các hộp thoại giả mạo để đánh lừa người dùng tiết lộ mã xác thực hai yếu tố (2FA) của họ để rút tiền điện tử.
Mặc dù nguồn gốc của Rilide chưa được xác định, nhưng Trustwave cho biết đã phát hiện ra các trình duyệt tương tự đang được rao bán. Đồng thời, một phần mã nguồn của nó gần đây đã bị rò rỉ trên một diễn đàn ngầm do tranh chấp giữa các tin tặc về khoản thanh toán chưa được giải quyết.
Các chiến dịch độc hại dẫn đến tiện ích mở rộng Rilide Stealer
Trustwave đã phát hiện hai chiến dịch phân phối Rilide riêng biệt. Chiến dịch đầu tiên các tin tặc đã phát tán phần mở rộng độc hại bằng cách sử dụng truy cập từ xa Ekipa (RAT). Chiến dịch sau đó là sử dụng Google Ads và phần mềm độc hại Aurora Stealer để phát tán tiện ích mở rộng bằng trình tải Rust.
Hai chiến dịch phân phối Rilide
Chiến dịch 1: Ekipa RAT cài đặt Rilide Stealer
Một trong những mẫu Rilide được Trustwave xác định đã được phân phối thông qua tệp Microsoft Publisher độc hại. Tệp này là một phần của Ekipa RAT, một trojan truy cập từ xa được thiết kế cho các cuộc tấn công có chủ đích và thường được bán trên các diễn đàn ngầm.
Cần lưu ý rằng Microsoft Publisher không bị ảnh hưởng bởi quyết định của Microsoft về việc chặn macro thực thi các tệp được tải xuống từ Internet. Do đó, khi người dùng cố mở tệp Publisher, họ sẽ nhận được cảnh báo nhưng vẫn có thể cho phép thực thi nội dung độc hại bằng cách nhấp vào nút “Enable Macro”.
Ba tập lệnh đã được cấu hình trên máy chủ C2, bao gồm:
Trong đó, tệp “2.exe” là trình tải dựa trên Rust, chịu trách nhiệm cài đặt tiện ích mở rộng Rilide cho trình duyệt dựa trên Chromium.
Vào ngày 14/2/2023, Microsoft đã phát hành một bản cập nhật nhằm giải quyết lỗ hổng bảo mật dành cho Microsoft Publisher. Với việc triển khai tính năng “Mark of the Web” trên tệp .pub, giờ đây người dùng chỉ còn lại một tùy chọn, đó là “Disable Macro”.
Bất kỳ mối liên hệ nào giữa các tin tặc đứng đằng sau Ekipa RAT và những kẻ sử dụng trình đánh cắp thông tin Rilide vẫn chưa rõ ràng. Tuy nhiên, có khả năng Ekipa RAT đã được thử nghiệm như một phương tiện phân phối cho Rilide, trước khi chuyển sang trình đánh cắp Aurora.
Chiến dịch 2: Aurora Stealer lạm dụng Google Ads
Aurora là một trình đánh cắp thông tin dựa trên Go, ban đầu được phát hiện đang được quảng cáo vào tháng 4/2022 dưới dạng Dịch vụ phần mềm độc hại (MaaS) trên các diễn đàn ngầm nói tiếng Nga. Phần mềm độc hại được thiết kế để nhắm mục tiêu dữ liệu từ nhiều trình duyệt web, ví tiền điện tử và các hệ thống cục bộ.
Gần đây, các nhà nghiên cứu đã quan sát thấy Aurora đang lạm dụng nền tảng Google Ads để phát tán phần mềm độc hại. Công ty bảo mật Cyble cho biết, các chiến dịch bắt chước trình cài đặt Team Viewer hợp pháp đã được sử dụng để triển khai Aurora. Theo báo cáo của nhà nghiên cứu Germán Fernández và nhóm bảo mật MalwareHunterTeam, Aurora cũng được phân phối qua một chiến dịch khác bắt chước trình cài đặt Trình điều khiển NVIDIA. Một mẫu đã tải xuống được đóng gói với Themida, một trình bảo vệ thương mại nổi tiếng dành cho các tệp thực thi.
Chiến dịch Aurora bắt chước trình cài đặt Trình điều khiển NVIDIA
Liên kết chung giữa hai chiến dịch
Các mẫu trình tải dựa trên Rilide Rust được phân tích như một phần của chiến dịch Aurora được đóng gói bằng VMProtect. Sau khi giải nén các mẫu và phân tích các chuỗi có trong tệp nhị phân, các nhà nghiên cứu đã tìm thấy nhiều tham chiếu đến các đường dẫn Windows trong thư mục C:\Users\ilide\. Tên người dùng tương tự đã được tìm thấy trong đường dẫn PDB của mẫu Rilide thu được từ chiến dịch RAT của Ekipa.
Cùng một tên người dùng trong một đường dẫn được tìm thấy trong các mẫu trình tải dựa trên Rilide Rust từ cả hai chiến dịch
Tiện ích mở rộng Rilide Stealer trên các trình duyệt dựa trên Chromium
Rilide tận dụng trình tải Rust được sử dụng để cài đặt tiện ích mở rộng nếu phát hiện thấy trình duyệt dựa trên Chromium. Trình tải của Rilide sửa đổi các tệp lối tắt LNK của trình duyệt web được nhắm mục tiêu để chúng được thực thi với tham số --load-extension trỏ đến tiện ích mở rộng Rilide độc hại bị loại bỏ trên hệ thống bị xâm nhập.
Tiện ích mở rộng độc hại trên Edge
Khi thực thi, phần mềm độc hại sẽ chạy một tập lệnh để đính kèm một trình lắng nghe theo dõi khi nạn nhân chuyển tab, nhận nội dung web hoặc tải xong các trang web. Nó cũng kiểm tra xem trang web hiện tại có khớp với danh sách các mục tiêu có sẵn từ máy chủ chỉ huy và kiểm soát (C2) hay không.
Nếu trùng khớp, tiện ích mở rộng sẽ tải các tập lệnh bổ sung được đưa vào trang web để đánh cắp thông tin nạn nhân liên quan đến tiền điện tử, thông tin đăng nhập tài khoản ,…
Danh sách cấu hình chỉ ra các mục tiêu như dịch vụ email và trao đổi tiền điện tử
Tiện ích mở rộng cũng vô hiệu hóa “Chính sách bảo mật nội dung (Content Security Policy - CSP)” - một tính năng bảo mật được thiết kế để bảo vệ chống lại các cuộc tấn công XSS, để cho phép tải các tài nguyên bên ngoài mà CSP thường chặn.
Ngoài ra, tiện ích mở rộng sẽ thực hiện kiểm tra thường xuyên đối với lịch sử duyệt web và lọc ra các URL phù hợp với danh sách tên miền được nhắm mục tiêu. Hơn nữa, nó có khả năng chụp ảnh màn hình và gửi chúng đến máy chủ C2 do tin tặc kiểm soát.
Luồng thực thi và chức năng của Rilide Stealer
Vượt qua xác thực hai yếu tố
Một tính năng đặc biệt trong Rilide là khả năng vượt qua xác thực hai yếu tố, sử dụng các hộp thoại giả mạo để đánh lừa nạn nhân nhập mã tạm thời của họ.
Hệ thống được kích hoạt khi nạn nhân bắt đầu yêu cầu rút tiền điện tử tới một dịch vụ trao đổi mà Rilide nhắm mục tiêu. Phần mềm độc hại sẽ đưa tập lệnh vào nền và xử lý yêu cầu tự động. Sau khi người dùng nhập mã của họ vào hộp thoại giả mạo, Rilide sẽ sử dụng mã đó để hoàn tất quy trình rút tiền đến địa chỉ ví của tin tặc.
“Các xác nhận email cũng được thay thế nhanh chóng nếu người dùng vào hộp thư bằng cùng một trình duyệt web. Email yêu cầu rút tiền sẽ được thay thế bằng một email khác để đánh lừa người dùng cung cấp mã ủy quyền xác thực”, Trustwave cho biết.
Nội dung của email gốc và giả mạo
Rilide là một ví dụ điển hình cho thấy sự phức tạp và tinh vi ngày càng tăng của các tiện ích mở rộng trình duyệt độc hại và những mối nguy hiểm mà chúng gây ra.
Mặc dù việc triển khai nền tảng manifest v3 trên tất cả các trình duyệt dựa trên Chromium có thể cải thiện khả năng chống lại các tiện ích mở rộng độc hại, nhưng Trustwave nhận xét rằng nó sẽ không loại bỏ hoàn toàn được vấn đề.
Các nhà nghiên cứu đưa ra lời khuyên đến người dùng cần phải cảnh giác và thận trọng khi nhận được email hoặc tin nhắn không mong muốn và không bao giờ cho rằng bất kỳ nội dung nào trên Internet là an toàn..Điều quan trọng nhất là phải cập nhật thông tin thường xuyên về các mối đe dọa an ninh mạng và các phương pháp bảo vệ mới nhất để giảm thiểu nguy cơ trở thành nạn nhân của các cuộc tấn công .
Hồng Đạt
(Trustwave)
16:00 | 19/12/2023
10:00 | 27/03/2023
09:00 | 25/12/2023
14:00 | 21/11/2022
10:00 | 19/09/2022
08:00 | 08/12/2023
Nhóm Tình báo mối đe dọa của Microsoft đưa ra cảnh báo về nhóm tin tặc APT28 (hay còn gọi là Fancybear hoặc Strontium) có liên hệ với Cơ quan Tình báo quân đội Nga (GRU), đã tiến hành khai thác lỗ hổng CVE-2023-23397 trên Outlook để chiếm đoạt tài khoản Microsoft Exchange và đánh cắp thông tin nhạy cảm.
12:00 | 25/10/2023
Năm nay là lần đầu tiên tất cả 10 nước thành viên ASEAN đều có đội sinh viên tham dự cuộc thi Sinh viên với An toàn thông tin ASEAN. Hiện các đội thi đang gấp rút chuẩn bị cho Vòng Chung khảo sẽ được tổ chức vào ngày 28/10/2023.
09:00 | 25/10/2023
Nhóm các nước công nghiệp phát triển (G7) mới đây đã nhất trí về bản dự thảo nguyên tắc phát triển trí tuệ nhân tạo, cho thấy một bước đi tích cực trong nỗ lực giảm rủi ro liên quan công nghệ mới nổi này. Việc xây dựng chiến lược để quản lý và sử dụng AI một cách hiệu quả, an toàn, có trách nhiệm đang là nhiệm vụ cấp bách của mọi quốc gia.
15:00 | 06/10/2023
Theo tờ Financial Times (Mỹ) ngày 28/9/2023 dẫn một số nguồn tin giấu tên cho biết, OpenAI - Công ty phát triển ChatGPT, đang đàm phán với cựu Giám đốc thiết kế của Apple về kế hoạch thiết kế một dòng “điện thoại thông minh trí tuệ nhân tạo”.
Lệnh cấm điện thoại di động trong trường học tại Hà Lan có hiệu lực từ tháng 1/2024. Bên cạnh điện thoại di động, chính quyền Hà Lan sẽ cấm cả iPad, đồng hồ thông minh và các thiết bị tương tự tại trường học.
17:00 | 22/12/2023
Ngày 14/12, trong khuôn khổ Giao lưu hữu nghị Quốc phòng biên giới Việt Nam - Lào - Campuchia lần thứ nhất, tại khu vực biên giới chung ba nước Việt Nam - Lào - Campuchia đã diễn ra cuộc gặp thường niên Bộ trưởng Bộ Quốc phòng ba nước Việt Nam - Lào- Campuchia. Đại tướng Phan Văn Giang, Uỷ viên Bộ Chính trị, Bộ trưởng Bộ Quốc phòng Việt Nam; Đại tướng Chansamone Chanyalath, Ủy viên Bộ Chính trị Ban Chấp hành Trung ương Đảng Nhân dân Cách mạng Lào, Phó Thủ tướng Chính phủ, Bộ trưởng Bộ Quốc phòng Lào; Đại tướng Tea Seiha, Phó Thủ tướng Chính phủ, Bộ trưởng Bộ Quốc phòng Campuchia đồng chủ trì giao lưu.
15:00 | 18/12/2023
Ngày 8/12 vừa qua, các nước thành viên Liên minh châu Âu (EU) đã đạt được thỏa thuận về một bộ quy tắc đối với việc quản lý trí tuệ nhân tạo (AI). Đây được coi là văn bản mang tính bước ngoặt, là nền tảng để xây dựng bộ quy tắc đầy đủ về trí tuệ nhân tạo, cũng là khuôn khổ pháp lý đầu tiên trong lĩnh vực này.
14:00 | 14/12/2023