СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
23.03.2025
#Dev#ИБ#Инфра

Rilide: Эволюция вредоносного расширения для кражи данных

Rilide: Эволюция вредоносного расширения для кражи данных

Источник: blog.pulsedive.com

В мире кибербезопасности появился новый игрок — вредоносная программа Rilide, предназначенная для кражи информации. Это программное обеспечение выдает себя за расширения для браузеров на базе Chromium, таких как Google Chrome и Microsoft Edge. Впервые обнаруженная в апреле 2023 года, Rilide показывает, как злоумышленники используют современные технологии для обхода защитных механизмов.

Механизмы доставки и установка Rilide

Rilide использует различные механизмы доставки, среди которых:

  • Фишинговые веб-сайты: Первоначально пользователи заманиваются на поддельные сайты.
  • Вредоносная реклама: Устанавливаются поддельные расширения через рекламу.
  • Файлы PowerPoint: В качестве приманки используется файл, который перенаправляет на фишинговый сайт для загрузки Rilide.
  • Социальные сети: Пользователи заманиваются через Twitter на фишинговые сайты.

Известно, что вредоносная программа адаптирована к стандартам Chrome Extension Manifest version 3, что усложняет выполнение внешних скриптов или загрузку файлов с удаленных серверов. Это делает установку Rilide более стойкой, так как необходимая логика жестко запрограммирована в пакете расширения.

Стратегии внедрения и действия Rilide

Программисты выбрали систематический подход к внедрению Rilide. Вот как это выглядит:

  1. Использование загрузчика PowerShell для развертывания Rilide.
  2. Запуск дополнительных закодированных команд, без раскрытия действий пользователю.
  3. Запись необходимых файлов на диск и изменение файлов настроек браузера для автоматического запуска при следующем входе.

После успешной установки Rilide демонстрирует ряд неблаговидных действий:

  • Создание скриншотов.
  • Регистрация паролей.
  • Извлечение учетных данных криптовалютного кошелька.
  • Сбор информации с платформ обмена сообщениями.

Расширение Rilide имитирует законные сервисы, такие как Google Drive, запрашивая расширенные разрешения, что позволяет ему получать доступ к файлам cookie, данным из буфера обмена и системной информации.

Методы управления и шифрования трафика

Управление командно-диспетчерскими связями (C2) осуществляет с помощью различных блокчейн-сервисов. Это скрывает истинную природу трафика и затрудняет его отслеживание. Rilide может получать адреса серверов C2, что позволяет ей извлекать украденные данные с помощью HTTP POST-запросов.

Таким образом, Rilide становится ярким примером современных угроз, которые используют социальную инженерию и техническую изощренность для сбора конфиденциальной информации. Эволюция методов доставки и установки этой вредоносной программы демонстрирует, как злоумышленники адаптируются к меняющимся условиям и ограничениям платформ.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: