資安廠商 Trustwave SpiderLasb 旗下的研究人員,近期發現一個名為 Rilide 的全新惡意 Google Chrome 瀏覽器擴充套件,會監控瀏覽器的活動、拍攝螢幕畫面,並且在網頁中注入惡意程式碼,以竊取用戶的加密貨幣資產。
研究人員指出,Rilide 詐稱本身是相當好用的 Google Drive 瀏覽器擴充套件,以此吸引用戶下載安裝,但實際上內藏惡意程式碼。
研究人員發現近期共有兩波散布 Rilide 的駭侵攻擊活動;其中一波利用 Google Ads 來推送廣告,並利用 Aurora Stealer 來載入惡意軟體;另一波則使用 Ekipa 遠端存取木馬來推送惡意程式碼。
Rilide 開始執行其惡意程式碼後,就開始監控瀏覽器的一舉一動,包括用戶切換瀏覽頁籤、檢視網頁內容或網頁內容載入,並會與其控制伺服器中的目標網頁清單相互核對。
如果核對結果相符,表示使用者正在瀏覽駭侵者有興趣的網頁,此時該擴充套件就會在網頁中注入惡意程式碼,並竊取用戶的各種機敏資訊,包括加密貨幣相關登入資訊、用戶 EMail 登入資訊等等。
該擴充套件也會在注入惡意軟體竊取機敏資訊時,同時停用「Content Security Policy」,該功能的設計目的是讓瀏覽器阻擋外部資源載入,以避免跨站惡意程式碼攻擊(Cross-site Scripting, XSS)。
Rilide 最特殊的部分,是會攔截用戶輸入的二階段驗證碼;該擴充套件會先顯示假的二階段驗證碼輪入畫面,當用戶輸入正確的二階段驗證碼後,Rilide 再將取得的驗證碼輸入到加密貨幣錢包等網站,以竊取用戶的加密貨幣資產。
建議用戶在下載瀏覽器擴充套件時,務必提高警覺,在安裝前先仔細閱讀用戶評價,如有異常,切勿任意下載安裝。
- 參考連結
Rilide: A New Malicious Browser Extension for Stealing Cryptocurrencies
Hackers use Rilide browser extension to bypass 2FA, steal crypto
留言列表
資安宣導 (2)
