Peneliti keamanan menemukan ekstensi browser berbahaya baru bernama Rilide, yang menargetkan produk berbasis Chromium seperti Google Chrome, Brave, Opera, dan Microsoft Edge.
Malware ini dirancang untuk memantau aktivitas browser, mengambil tangkapan layar, dan mencuri mata uang kripto melalui skrip yang disuntikkan di halaman web.
Para peneliti di Trustwave SpiderLabs menemukan bahwa Rilide meniru ekstensi Google Drive jinak untuk bersembunyi di depan mata sambil menyalahgunakan fungsi bawaan Chrome.
Perusahaan keamanan siber mendeteksi dua kampanye terpisah yang mendistribusikan Rilide. Salah satunya menggunakan Google Ads dan Pencuri Aurora untuk memuat ekstensi menggunakan pemuat Rust. Yang lain mendistribusikan ekstensi jahat menggunakan trojan akses jarak jauh Ekipa (RAT).
Meskipun asal malware tidak diketahui, Trustwave melaporkan bahwa malware tersebut tumpang tindih dengan ekstensi serupa yang dijual ke penjahat dunia maya. Pada saat yang sama, sebagian dari kodenya baru-baru ini bocor di forum bawah tanah karena perselisihan antara penjahat dunia maya atas pembayaran yang belum terselesaikan.
Sebuah parasit di browser
Pemuat Rilide memodifikasi file pintasan browser web untuk mengotomatiskan eksekusi ekstensi jahat yang dijatuhkan pada sistem yang disusupi.
Setelah eksekusi, malware menjalankan skrip untuk melampirkan pendengar yang memantau saat korban berpindah tab, menerima konten web, atau laman web selesai dimuat. Itu juga memeriksa apakah situs saat ini cocok dengan daftar target yang tersedia dari server perintah dan kontrol (C2).
Jika ada kecocokan, ekstensi akan memuat skrip tambahan yang disuntikkan ke halaman web untuk mencuri informasi korban terkait mata uang kripto, kredensial akun email, dll.
Ekstensi ini juga menonaktifkan ‘Kebijakan Keamanan Konten’, sebuah fitur keamanan yang dirancang untuk melindungi dari serangan cross-site scripting (XSS), untuk memuat secara bebas sumber daya eksternal yang biasanya diblokir oleh browser.
Selain hal di atas, ekstensi secara teratur mengekstraksi riwayat penelusuran dan juga dapat menangkap tangkapan layar dan mengirimkannya ke C2.
Melewati autentikasi dua faktor
Fitur yang menarik di Rilide adalah sistem 2FA-bypassing, yang menggunakan dialog palsu untuk menipu korban agar memasukkan kode sementara mereka.
Sistem diaktifkan saat korban memulai permintaan penarikan mata uang kripto ke layanan pertukaran yang ditargetkan Rilide. Malware masuk pada saat yang tepat untuk menyuntikkan skrip di latar belakang dan memproses permintaan secara otomatis.
Setelah pengguna memasukkan kode mereka pada dialog palsu, Rilide menggunakannya untuk menyelesaikan proses penarikan ke alamat dompet pelaku ancaman.
“Konfirmasi email juga diganti dengan cepat jika pengguna masuk ke kotak surat menggunakan browser web yang sama,” menjelaskan Turstwave dalam laporan tersebut.
“Email permintaan penarikan diganti dengan permintaan otorisasi perangkat yang menipu pengguna untuk memberikan kode otorisasi.”
Rilide menampilkan kecanggihan ekstensi browser berbahaya yang kini hadir dengan pemantauan langsung dan sistem pencuri uang otomatis.
Sementara roll-out dari Manifest v3 pada semua browser berbasis Chromium akan meningkatkan ketahanan terhadap ekstensi jahat, komentar Trustwave bahwa itu tidak akan menghilangkan masalah.
