Ciberdelincuentes están usando una extensión de navegador para evadir 2FA y robar criptomonedas
Investigadores de seguridad descubrieron una nueva extensión de navegador maliciosa llamada Rilide. Rilide apunta a productos basados en Chromium como Google Chrome, Brave, Opera y Microsoft Edge.
El malware está diseñado para monitorear la actividad del navegador, tomar capturas de pantalla y robar criptomonedas a través de scripts inyectados en páginas web.
Los investigadores de Trustwave SpiderLabs descubrieron que Rilide imitaba las extensiones benignas de Google Drive para ocultarse a simple vista mientras abusaba de las funcionalidades integradas de Chrome.
La empresa de ciberseguridad detectó dos campañas separadas que distribuían Rilide. Una estaba usando Google Ads y Aurora Stealer para cargar la extensión usando un cargador Rust. La otra distribuyó la extensión maliciosa utilizando el troyano de acceso remoto (RAT) Ekipa.
Si bien se desconoce el origen del malware, Trustwave reportó que se superpone con extensiones similares vendidas a ciberdelincuentes. Al mismo tiempo, partes de su código se filtraron recientemente en un foro clandestino debido a una disputa entre ciberdelincuentes sobre pagos no resueltos.
Un parásito en el navegador
El instalador de Rilide modifica los archivos de acceso directo del navegador web para automatizar la ejecución de la extensión maliciosa que se coloca en el sistema comprometido.
Tras la ejecución, el malware ejecuta un script para adjuntar un oyente que monitorea cuando la víctima cambia de pestaña, recibe contenido web o las páginas web terminan de cargarse. También verifica si el sitio actual coincide con una lista de objetivos disponibles del servidor de comando y control (C2).
Si hay una coincidencia, la extensión carga scripts adicionales en la página web para robarle a la víctima información relacionada con criptomonedas, credenciales de cuentas de correo electrónico, etc.
La extensión también deshabilita la ‘Content Security Policy’, una característica de seguridad diseñada para proteger contra ataques de secuencias de comandos entre sitios (XSS), para cargar libremente recursos externos que el navegador normalmente bloquearía.
Omitiendo la autenticación de dos factores
Una característica interesante de Rilide es su sistema de evasión de 2FA, que utiliza diálogos falsificados para engañar a las víctimas para que ingresen sus códigos temporales.
Además de lo anterior, la extensión filtra regularmente el historial de navegación y también puede realizar capturas de pantalla y enviarlas al C2.
El sistema se activa cuando la víctima inicia una solicitud de retiro de criptomonedas a un servicio de intercambio al que se dirige Rilide. El malware se ejecuta en el momento adecuado para inyectar el script en segundo plano y procesar la solicitud automáticamente.
Una vez que el usuario ingresa su código en el diálogo falso, Rilide lo usa para completar el proceso de retiro a la dirección de la billetera del atacante.
“Las confirmaciones de correo electrónico también se reemplazan sobre la marcha si el usuario ingresa al buzón utilizando el mismo navegador web”.
“El correo electrónico de solicitud de retiro se reemplaza con una solicitud de autorización del dispositivo que engaña al usuario para que proporcione el código de autorización”.
Trustwave
Rilide muestra la creciente sofisticación de las extensiones de navegador maliciosas que ahora vienen con monitoreo en vivo y sistemas automatizados de robo de dinero.
Si bien la implementación de Manifest v3 en todos los navegadores basados en Chromium mejorará la resistencia contra las extensiones maliciosas, Trustwave asegura que no eliminará el problema.