Rilide được ngụy trang dưới dạng tiện ích mở rộng hợp pháp của Google Drive để ẩn mình trong khi lạm dụng các chức năng tích hợp sẵn của Chrome, cho phép các tin tặc có thể theo dõi lịch sử duyệt web, chụp ảnh màn hình và đánh cắp tiền điện tử bằng việc chèn các tập lệnh độc hại vào các trang web.
Rilide không phải là phần mềm độc hại đầu tiên mà Trustwave đã quan sát thấy bằng cách sử dụng các tiện ích mở rộng trình duyệt độc hại. Điểm khác biệt của phần mềm độc hại này là nó có khả năng sử dụng hiệu quả các hộp thoại giả mạo để đánh lừa người dùng tiết lộ mã xác thực hai yếu tố (2FA) của họ để rút tiền điện tử.
Mặc dù nguồn gốc của Rilide chưa được xác định, nhưng Trustwave cho biết đã phát hiện ra các tiện ích mở rộng trình duyệt tương tự đang được rao bán. Đồng thời, một phần mã nguồn của nó gần đây đã bị rò rỉ trên một diễn đàn ngầm do tranh chấp giữa các tin tặc về khoản thanh toán chưa được giải quyết.
Các chiến dịch độc hại dẫn đến tiện ích mở rộng Rilide Stealer
Trustwave đã phát hiện hai chiến dịch phân phối Rilide riêng biệt. Chiến dịch đầu tiên các tin tặc đã phát tán phần mở rộng độc hại bằng cách sử dụng trojan truy cập từ xa Ekipa (RAT). Chiến dịch sau đó là sử dụng Google Ads và phần mềm độc hại Aurora Stealer để phát tán tiện ích mở rộng bằng trình tải Rust.
Hai chiến dịch phân phối Rilide
Chiến dịch 1: Ekipa RAT cài đặt Rilide Stealer
Một trong những mẫu Rilide được Trustwave xác định đã được phân phối thông qua tệp Microsoft Publisher độc hại. Tệp này là một phần của Ekipa RAT, một trojan truy cập từ xa được thiết kế cho các cuộc tấn công có chủ đích và thường được bán trên các diễn đàn ngầm.
Cần lưu ý rằng Microsoft Publisher không bị ảnh hưởng bởi quyết định của Microsoft về việc chặn macro thực thi các tệp được tải xuống từ Internet. Do đó, khi người dùng cố mở tệp Publisher, họ sẽ nhận được cảnh báo nhưng vẫn có thể cho phép thực thi nội dung độc hại bằng cách nhấp vào nút “Enable Macro”.
Ba tập lệnh đã được cấu hình trên máy chủ C2, bao gồm:
Trong đó, tệp “2.exe” là trình tải dựa trên Rust, chịu trách nhiệm cài đặt tiện ích mở rộng Rilide cho trình duyệt dựa trên Chromium.
Vào ngày 14/2/2023, Microsoft đã phát hành một bản cập nhật nhằm giải quyết lỗ hổng bảo mật dành cho Microsoft Publisher. Với việc triển khai tính năng “Mark of the Web” trên tệp .pub, giờ đây người dùng chỉ còn lại một tùy chọn, đó là “Disable Macro”.
Bất kỳ mối liên hệ nào giữa các tin tặc đứng đằng sau Ekipa RAT và những kẻ sử dụng trình đánh cắp thông tin Rilide vẫn chưa rõ ràng. Tuy nhiên, có khả năng Ekipa RAT đã được thử nghiệm như một phương tiện phân phối cho Rilide, trước khi chuyển sang trình đánh cắp Aurora.
Chiến dịch 2: Aurora Stealer lạm dụng Google Ads
Aurora là một trình đánh cắp thông tin dựa trên Go, ban đầu được phát hiện đang được quảng cáo vào tháng 4/2022 dưới dạng Dịch vụ phần mềm độc hại (MaaS) trên các diễn đàn ngầm nói tiếng Nga. Phần mềm độc hại được thiết kế để nhắm mục tiêu dữ liệu từ nhiều trình duyệt web, ví tiền điện tử và các hệ thống cục bộ.
Gần đây, các nhà nghiên cứu đã quan sát thấy Aurora đang lạm dụng nền tảng Google Ads để phát tán phần mềm độc hại. Công ty bảo mật Cyble cho biết, các chiến dịch bắt chước trình cài đặt Team Viewer hợp pháp đã được sử dụng để triển khai Aurora. Theo báo cáo của nhà nghiên cứu Germán Fernández và nhóm bảo mật MalwareHunterTeam, Aurora cũng được phân phối qua một chiến dịch khác bắt chước trình cài đặt Trình điều khiển NVIDIA. Một mẫu đã tải xuống được đóng gói với Themida, một trình bảo vệ thương mại nổi tiếng dành cho các tệp thực thi.
Chiến dịch Aurora bắt chước trình cài đặt Trình điều khiển NVIDIA
Liên kết chung giữa hai chiến dịch
Các mẫu trình tải dựa trên Rilide Rust được phân tích như một phần của chiến dịch Aurora được đóng gói bằng VMProtect. Sau khi giải nén các mẫu và phân tích các chuỗi có trong tệp nhị phân, các nhà nghiên cứu đã tìm thấy nhiều tham chiếu đến các đường dẫn Windows trong thư mục C:\Users\ilide\. Tên người dùng tương tự đã được tìm thấy trong đường dẫn PDB của mẫu Rilide thu được từ chiến dịch RAT của Ekipa.
Cùng một tên người dùng trong một đường dẫn được tìm thấy trong các mẫu trình tải dựa trên Rilide Rust từ cả hai chiến dịch
Tiện ích mở rộng Rilide Stealer trên các trình duyệt dựa trên Chromium
Rilide tận dụng trình tải Rust được sử dụng để cài đặt tiện ích mở rộng nếu phát hiện thấy trình duyệt dựa trên Chromium. Trình tải của Rilide sửa đổi các tệp lối tắt LNK của trình duyệt web được nhắm mục tiêu để chúng được thực thi với tham số --load-extension trỏ đến tiện ích mở rộng Rilide độc hại bị loại bỏ trên hệ thống bị xâm nhập.
Tiện ích mở rộng độc hại trên Edge
Khi thực thi, phần mềm độc hại sẽ chạy một tập lệnh để đính kèm một trình lắng nghe theo dõi khi nạn nhân chuyển tab, nhận nội dung web hoặc tải xong các trang web. Nó cũng kiểm tra xem trang web hiện tại có khớp với danh sách các mục tiêu có sẵn từ máy chủ chỉ huy và kiểm soát (C2) hay không.
Nếu trùng khớp, tiện ích mở rộng sẽ tải các tập lệnh bổ sung được đưa vào trang web để đánh cắp thông tin nạn nhân liên quan đến tiền điện tử, thông tin đăng nhập tài khoản email,…
Danh sách cấu hình chỉ ra các mục tiêu như dịch vụ email và trao đổi tiền điện tử
Tiện ích mở rộng cũng vô hiệu hóa “Chính sách bảo mật nội dung (Content Security Policy - CSP)” - một tính năng bảo mật được thiết kế để bảo vệ chống lại các cuộc tấn công XSS, để cho phép tải các tài nguyên bên ngoài mà CSP thường chặn.
Ngoài ra, tiện ích mở rộng sẽ thực hiện kiểm tra thường xuyên đối với lịch sử duyệt web và lọc ra các URL phù hợp với danh sách tên miền được nhắm mục tiêu. Hơn nữa, nó có khả năng chụp ảnh màn hình và gửi chúng đến máy chủ C2 do tin tặc kiểm soát.
Luồng thực thi và chức năng của Rilide Stealer
Vượt qua xác thực hai yếu tố
Một tính năng đặc biệt trong Rilide là khả năng vượt qua xác thực hai yếu tố, sử dụng các hộp thoại giả mạo để đánh lừa nạn nhân nhập mã tạm thời của họ.
Hệ thống được kích hoạt khi nạn nhân bắt đầu yêu cầu rút tiền điện tử tới một dịch vụ trao đổi mà Rilide nhắm mục tiêu. Phần mềm độc hại sẽ đưa tập lệnh vào nền và xử lý yêu cầu tự động. Sau khi người dùng nhập mã của họ vào hộp thoại giả mạo, Rilide sẽ sử dụng mã đó để hoàn tất quy trình rút tiền đến địa chỉ ví của tin tặc.
“Các xác nhận email cũng được thay thế nhanh chóng nếu người dùng vào hộp thư bằng cùng một trình duyệt web. Email yêu cầu rút tiền sẽ được thay thế bằng một email khác để đánh lừa người dùng cung cấp mã ủy quyền xác thực”, Trustwave cho biết.
Nội dung của email gốc và giả mạo
Rilide là một ví dụ điển hình cho thấy sự phức tạp và tinh vi ngày càng tăng của các tiện ích mở rộng trình duyệt độc hại và những mối nguy hiểm mà chúng gây ra.
Mặc dù việc triển khai nền tảng manifest v3 trên tất cả các trình duyệt dựa trên Chromium có thể cải thiện khả năng chống lại các tiện ích mở rộng độc hại, nhưng Trustwave nhận xét rằng nó sẽ không loại bỏ hoàn toàn được vấn đề.
Các nhà nghiên cứu đưa ra lời khuyên đến người dùng cần phải cảnh giác và thận trọng khi nhận được email hoặc tin nhắn không mong muốn và không bao giờ cho rằng bất kỳ nội dung nào trên Internet là an toàn..Điều quan trọng nhất là phải cập nhật thông tin thường xuyên về các mối đe dọa an ninh mạng và các phương pháp bảo vệ mới nhất để giảm thiểu nguy cơ trở thành nạn nhân của các cuộc tấn công lừa đảo.
Hồng Đạt
(Trustwave)
16:00 | 19/12/2023
10:00 | 27/03/2023
09:00 | 25/12/2023
14:00 | 21/11/2022
10:00 | 19/09/2022
21:00 | 03/05/2024
Đội thi 0range đến từ Học viện Kỹ thuật mật mã vừa giành vị trí dẫn đầu bảng tại cuộc thi an toàn thông tin quốc tế HackTheon Sejong, diễn ra ngày 27/4 theo hình thức trực tuyến. Điều này lần nữa khẳng định bước phát triển trong công tác đào tạo nguồn nhân lực an toàn thông tin tại Học viện Kỹ thuật mật mã nói riêng và tại Việt Nam nói chung.
09:00 | 02/04/2024
Một chuyên gia khôi phục dữ liệu người Đức đã xác nhận: Thẻ nhớ USB đang ngày càng kém tin cậy hơn. Nguyên nhân được cho là do chip bộ nhớ kém hơn, trong khi việc chuyển sang lưu trữ nhiều bit trên mỗi ô flash ảnh hưởng đến chất lượng của thẻ nhớ.
14:00 | 22/03/2024
Chiều 19/3, tại Hà Nội, Viện Khoa học - Công nghệ mật mã (Ban Cơ yếu Chính phủ) tổ chức hội thảo khoa học và sơ kết hoạt động nhóm mật mã lượng tử. Đến dự và chỉ đạo Hội thảo có Thiếu tướng Vũ Ngọc Thiềm, Trưởng ban Ban Cơ yếu Chính phủ.
08:00 | 21/03/2024
AI tạo sinh (Generative AI) được nhận định là xu hướng công nghệ triển vọng trong thời gian tới. Năm 2024, AI tạo sinh hứa hẹn sẽ tạo ra những đột phá đáng kinh ngạc, thay đổi cách chúng ta tương tác, sáng tạo và xử lý thông tin. Mặc dù, AI tạo sinh mang lại nhiều lợi ích, nhưng cũng không thiếu những thách thức như vấn đề về quyền sở hữu trí tuệ, đạo đức và đảm bảo luật an ninh mạng trong sử dụng AI.
Ba Lan cho biết nhóm tin tặc APT28 có liên quan đến Cơ quan tình báo quân đội Nga (GRU) đã thực hiện các cuộc tấn công mạng nhắm mục tiêu vào các tổ chức chính phủ Ba Lan trong khoảng thời gian đầu tháng 5/2024.
08:00 | 15/05/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Ngày 7/5, ByteDance kiện lên Tòa án liên bang Hoa Kỳ nhằm tìm cách ngăn chặn một đạo luật do Tổng thống Joe Biden ký nhằm buộc ByteDance phải thoái vốn khỏi ứng dụng video ngắn TikTok nếu không sẽ bị cấm tại Mỹ.
09:00 | 15/05/2024