Des chercheurs en cybersécurité ont découvert une nouvelle version de malware appelée Rilide qui cible les navigateurs Web basés sur Chromium pour voler des données sensibles et voler de la crypto-monnaie.
« Il présente un niveau de sophistication supérieur grâce à une conception modulaire, à l’obscurcissement du code, à l’adoption du manifeste d’extension Chrome V3 et à des fonctionnalités supplémentaires telles que la possibilité d’exfiltrer des données volées vers un canal Telegram ou des captures d’écran basées sur des intervalles », a déclaré Pawel, chercheur en sécurité chez Trustwave. Knapczyk a déclaré dans un rapport partagé avec The Hacker News.
Rilide a été documenté pour la première fois par la société de cybersécurité en avril 2023, découvrant deux chaînes d’attaque différentes qui utilisaient Ekipa RAT et Aurora Stealer pour déployer des extensions de navigateur malveillantes capables de voler des données et des cryptos. Il est vendu sur des forums du dark web par un acteur nommé « friezer » pour 5 000 $.
Le malware est équipé d’un large éventail de fonctionnalités qui lui permettent de désactiver d’autres modules complémentaires de navigateur, de collecter l’historique de navigation et les cookies, de collecter les identifiants de connexion, de prendre des captures d’écran et d’injecter des scripts malveillants pour retirer des fonds de divers échanges de crypto-monnaie.
La version mise à jour chevauche également les logiciels malveillants suivis par Trellix sous le nom de CookieGenesis, l’extension utilisant désormais Chrome Extension Manifest V3, une modification controversée de l’interface de programmation d’application (API) introduite par Google qui vise à restreindre l’accès étendu aux extensions.
« En gardant la sécurité à l’esprit, l’une des nouvelles améliorations majeures est que les extensions ne peuvent pas charger de code JavaScript distant et exécuter des chaînes arbitraires », a expliqué Knapczyk. « Plus précisément, toute la logique doit être incluse dans le package d’extension, permettant ainsi un processus d’examen plus fiable et efficace pour les extensions soumises au Chrome Web Store. »
Cela a conduit à une refonte complète des capacités de base de Rilide, a déclaré Trustwave, ajoutant que le malware repose sur l’utilisation d’événements en ligne pour exécuter du code JavaScript malveillant.
Il a été découvert que deux artefacts Rilide détectés dans la nature se faisaient passer pour l’application GlobalProtect de Palo Alto Networks afin d’inciter les utilisateurs sans méfiance à installer le logiciel malveillant dans le cadre de trois campagnes différentes. Un ensemble d’attaques est conçu pour cibler les utilisateurs en Australie et au Royaume-Uni
On soupçonne que les acteurs de la menace utilisent de fausses pages de destination hébergeant un logiciel de bureau à distance AnyDesk légitime et utilisent des tactiques de vishing pour guider les cibles potentielles à installer l’application, puis exploitent l’accès à distance pour déployer le malware.
Une autre mise à jour importante du modus operandi implique l’utilisation d’un chargeur PowerShell pour modifier le fichier de préférences sécurisées du navigateur – qui conserve l’état de l’expérience de navigation personnelle d’un utilisateur – pour lancer l’application avec l’extension chargée en permanence.
Une analyse plus approfondie du domaine de commande et de contrôle (C2) basée sur les informations du titulaire montre une connexion à un plus grand nombre de sites Web, dont beaucoup ont été observés servant des logiciels malveillants tels que Bumblebee, IcedID et Phorpiex.
Il convient de noter que le code source de l’extension Rilide a été divulgué en février 2023, ce qui soulève la possibilité que des acteurs de la menace autres que l’auteur original aient repris les efforts de développement.
