Rilide Stealer për Chrome vjedh të dhëna dhe kriptovaluta

Rilide Stealer është një shtesë e Chrome që mund të vjedhë të dhëna të ndryshme (cookie, histori dhe kredencialet e hyrjes), si dhe kriptovaluta nga wallet.

05/08/2023

in Security

Reading Time: 2 mins read

Studiuesit e Trustwave Spiderlabs kanë zbuluar një version të ri të shtesës Rilide Stealer Chrome që ju lejon të vidhni kriptomonedha nga kuletat e përdoruesve, detajet bankare dhe kredencialet e hyrjes. Malware, i cili mbështet shfletues të tjerë të bazuar në Chromium (Edge, Brave dhe Opera), mund të anashkalojë mbrojtjen e Google Manifest V3.

Rilide Stealer: Shtesë shumë e rrezikshme
Rilide Stealer është përdorur në të paktën tre fushata malware. Gjatë hetimit, studiuesit zbuluan më shumë se 1300 faqe phishing që përdorin teknika të ndryshme për të mashtruar viktimat për të vjedhur kredencialet e llogarisë. Versioni i ri ofron të gjitha “karakteristikat” e mëparshme, duke përfshirë aksesin në histori dhe cookie, injektimin e skriptit, regjistrimin e tasteve, kapjen e pamjeve të ekranit dhe vjedhjen e kriptomonedhave.

Kriminelët kibernetikë kanë shtuar ekfiltrimin e të dhënave përmes kanalit Telegram dhe veçanërisht mbështetjen për Manifest V3. Një nga veçoritë e reja të Manifest V3 është se parandalon shtesat nga ngarkimi i kodit JavaScript në distancë. Meqenëse versioni i parë i Rilide Stealer shfrytëzon injeksionin e skriptit në distancë të JavaScript, autorët e malware zbatuan teknika të ndryshme për të anashkaluar mbrojtjen. Zgjidhjet funksionojnë sepse shtesa nuk shpërndahet përmes Dyqanit të Uebit të Chrome.

Fushata e parë në vazhdim përfshin dërgimin e emaileve phishing me një prezantim në PowerPoint që shpjegon se si të instaloni Palo Alto Networks GlobalProtect VPN për Chrome. Aktualisht është instaluar zgjerimi Rilide Stealer. Fushata e dytë në vend të kësaj përdor Twitter për të reklamuar lojërat P2E (Play To Earn). Instaluesit në faqet e rreme përmbajnë malware që, kur instalohen, vjedhin kriptovalutat nga kuletat.

Së fundi, fushata e tretë shpërndan shtesën e infektuar përmes skripteve të PowerShell dhe faqeve të phishing të reklamuara përmes Google Ads. Në këtë rast, qëllimi i kriminelëve kibernetikë është të kenë akses në llogaritë bankare. Malware-i po shitet në forumet e internetit të errët për 5,000 dollarë.