Le nouveau malware Rilide cible les crypto-monnaies des utilisateurs de navigateurs basés sur Chromium tels que Chrome, Edge, Vivaldi ou Brave.

Les chercheurs en sécurité de Trustwave ont découvert un nouveau malware appelé « rilide” découvert ciblant les crypto-monnaies des utilisateurs de navigateurs Web basés sur Chromium. Le malware se déguise en extension supposée de Google Drive, échange des e-mails de confirmation en temps réel et trompe ses victimes en leur faisant entrer les bons codes 2FA.

Un nouveau malware attaque les navigateurs Chromium via une extension

Les navigateurs Web basés sur Chromium, qui incluent parfois Microsoft Edge, Vivaldi, Opera et Brave, sont très populaires parmi les utilisateurs. Cependant, cela en fait également une cible privilégiée pour les cybercriminels qui veulent voler de l’argent à leurs victimes et voler des données sensibles.

Les chercheurs en sécurité de Trustwave SpiderLabs ont récemment découvert un nouveau malware appelé Rilide se faisant passer pour une extension apparemment inoffensive pour Google Chrome et d’autres navigateurs basés sur le projet open source Chromium.

Le malware permet aux attaquants « Effectuer un large éventail d’activités malveillantes, y compris la surveillance de l’historique de navigation, la prise de captures d’écran et l’injection de scripts malveillants pour retirer des fonds de divers échanges de crypto-monnaie« , ont déclaré les chercheurs.

Rilide arrive sur les systèmes des victimes en tant qu’extension Google Drive

Comme le rapportent les chercheurs de Trustwave, Rilide se déguise en une supposée extension Google Drive. Le malware Chromium utilise de fausses boîtes de dialogue pour inciter ses victimes à entrer des codes 2FA. Cela lui permet de contourner les authentifications actives à deux facteurs et d’accéder aux ressources numériques.

Les chercheurs de Trustwave ont identifié deux campagnes différentes de distribution de logiciels malveillants. Dans la première, les attaquants ont utilisé des fichiers Microsoft Publisher infectés pour injecter Ekipa RAT, un cheval de Troie d’accès à distance couramment vendu sur les forums clandestins, puis l’ont utilisé pour charger Rilide sur le système.

La deuxième campagne utilisait de fausses annonces Google qui redirigeaient vers des sites de phishing. Là, les cybercriminels ont infecté les systèmes des visiteurs avec Aurora Stealer, un malware basé sur Go distribué via Malware-as-a-Service (MaaS). Après tout, ils ont également pu injecter le malware Rilide dans les navigateurs basés sur Chromium de leurs victimes.

Le malware sophistiqué Rilide cible les portefeuilles cryptographiques dans les navigateurs basés sur Chromium

Pour s’assurer que l’extension malveillante est toujours active au démarrage du navigateur web, le loader associé étend son fichier de lien avec le paramètre « –rallonge de charge” et le chemin vers Rilide.

Si le malware Chromium est actif, il accède automatiquement aux stocks de diverses crypto-monnaies. Pour ce faire, elle échange même des e-mails de confirmation en temps réel dans une boîte aux lettres ouverte dans le même navigateur. Il a également incité l’utilisateur à saisir les codes 2FA corrects.

Les premières versions de Rilide pouvaient également échanger des adresses de portefeuille sur le presse-papiers du système cible avec des adresses codées en dur de l’attaquant. Ainsi, les pièces cryptographiques transférées par l’utilisateur se sont retrouvées directement dans le portefeuille du criminel. Cependant, selon Trustwave, cette fonctionnalité aurait disparu dans les nouvelles variantes du malware.

Les chercheurs soulignent dans leur rapport que la prochaine application de Manifest v3 pourrait rendre plus difficile le travail des cybercriminels. Qu’il en soit ainsi »peu probable que cela résolve complètement le problème“. Parce que la plupart des fonctions utilisées par le malware Chromium Rilide sont toujours disponibles.