يتجاوز ملحق المستعرض المُسلح المصادقة الثنائية
[ad_1]
سلالة جديدة من البرامج الضارة المعروفة باسم Trustwave SpiderLabs اكتشف محللو الأمن السيبراني مؤخرًا Rilide. تم تصميم هذه البرامج الضارة الجديدة خصيصًا لمهاجمة متصفحات الويب المبنية على نظام Chromium الأساسي ، بما في ذلك:
- جوجل كروم
- مايكروسوفت ايدج
- شجاع
- أوبرا
اكتشف باحثو Trustwave SpiderLabs أن Rilide يتنكر على أنه امتداد شرعي لـ Google Drive لتجنب الاكتشاف واستغلال ميزات Chrome المتأصلة لأغراض ضارة.
قدرات ريلايد
هناك العديد من الأنشطة الضارة التي يمكن أن يقوم بها المهاجمون الذين يستخدمون برامج Rilide الضارة ، بما في ذلك ما يلي:
- مراقبة محفوظات الاستعراض
- خذ لقطات
- إدخال نصوص ضارة
واجهت Trustwave SpiderLabs سابقًا حالات أخرى من البرامج الضارة التي تستغل ملحقات المستعرض الضارة ، و Rilide ليس استثناءً.
الحملات الخبيثة
إن قدرة Rilide الفريدة على استغلال الحوارات المزورة هي ما يميزه عن البرامج الضارة الأخرى. تُستخدم مربعات الحوار هذه بعد ذلك لخداع المستخدمين للكشف عن معلومات المصادقة الثنائية (2FA) الخاصة بهم ، والتي تستخدمها بعد ذلك لسرقة العملة المشفرة.
اكتشف SpiderLabs حملتين خبيثتين ، مصممتين لتثبيت ملحق متصفح Rilide على جهاز الضحية.
فيما يلي ذكرنا الحملات: –
- الحملة 1: Ekipa RAT تثبيت Rilide Stealer
- الحملة 2: Aurora Stealer يسيء استخدام إعلانات Google
هناك طريقتان لتحميل الامتداد عبر محمل الصدأ: –
- واحد يتم من خلال إعلانات جوجل
- واحد آخر مصنوع عبر Aurora Steale
لتوزيع الامتداد الخبيث ، يستخدم أحدهم Ekipa RAT. تشير Trustwave إلى وجود تداخل بين البرامج الضارة والإضافات المماثلة التي يتم بيعها لمجرمي الإنترنت ، على الرغم من أن أصل البرنامج الضار غير معروف.
بالإضافة إلى ذلك ، تم تسريب بعض أجزاء الكود الخاص به في منتدى تحت الأرض بعد نزاع حول المدفوعات الزائدة من المتسللين والذي لم يتم حله.
امتداد مثل علقة
يضع مُحمل Rilide امتدادًا ضارًا على النظام المخترق من خلال التعديلات على ملفات الاختصارات في متصفح الويب.
عند تشغيل البرنامج الضار ، يتم تشغيل برنامج نصي يربط المستمع بالعملية. عادةً ما يستخدم ممثلو التهديد مستمعًا مثل هذا لاكتشاف متى يغير الضحية علامات التبويب أو يتلقى محتوى من موقع ويب أو يقوم بتحميل صفحة.
أيضًا ، يتم التحقق من عنوان URL الحالي للموقع مقابل قائمة الوجهات المتاحة على خادم C2 لتحديد ما إذا كان يتطابق أم لا.
سيقوم الامتداد بتحميل نصوص برمجية إضافية عند العثور على تطابق ، والذي سيتم بعد ذلك حقنه في صفحة الويب لسرقة المعلومات من الضحية. بينما تتعلق البيانات الهدف بشكل أساسي بما يلي: –
- العملات الرقمية
- بيانات اعتماد حساب البريد الإلكتروني
- محافظ البنك
لا يتجاوز الامتداد الخبيث ميزة “سياسة أمان المحتوى” (CSP) لمتصفح الويب لتحميل الموارد الخارجية التي عادةً ما يتم حظرها بحرية ، ولكن يمكنه أيضًا التقاط لقطات شاشة وتسريب سجل التصفح الذي يتم نقله بعد ذلك إلى أمر المهاجم والتحكم فيه الخادم (C2).
تخطي 2FA
يتم تنشيط نظام انتحال Rilide عندما يحاول الضحية سحب العملة المشفرة من خدمة التبادل التي تستهدفها البرامج الضارة. في هذه المرحلة ، يتم إدخال البرنامج النصي الضار في الخلفية ، مما يسمح للبرامج الضارة بمعالجة الطلب تلقائيًا.
لإكمال عملية السحب ، يستخدم Rilide الرمز الذي أدخله المستخدم في مربع الحوار الوهمي. بمجرد القيام بذلك ، يتم تحويل مبلغ السحب تلقائيًا إلى عنوان محفظة الجهة المهددة.
إذا وصل المستخدم إلى صندوق البريد الخاص به من خلال متصفح الويب نفسه ، فإن Rilide يستبدل تأكيدات البريد الإلكتروني ، بما في ذلك البريد الإلكتروني لطلب السحب ، والذي يتم استبداله بطلب ترخيص جهاز مزيف.
يسلط المقطع الدعائي لـ Rilide الضوء على الطبيعة المعقدة بشكل متزايد لإضافات المستعرضات الضارة ، والتي تعتمد الآن على المراقبة الحية والأنظمة الآلية لسرقة الأموال.
على الرغم من أن تطبيق Manifest v3 قد يجعل من الصعب على الجهات الفاعلة في التهديد العمل ، فمن غير المرجح أن تحل المشكلة بالكامل لأن معظم ميزات Rilide ستظل متاحة.
هل تواجه صعوبة في تطبيق تصحيح الأمان على نظامك؟ – جرب برنامج All-in-One Patch Manager Plus
القراءة ذات الصلة:
Source link