リライドスティーラー

Rilide Stealer という名前の、これまで知られていなかったマルウェアの脅威が、Chromium エンジンに基づく Web ブラウザーを標的としていることが明らかになりました。このマルウェアは、正規の Google ドライブ拡張機能に偽装してユーザーを欺くように設計されています。ただし、インストールされると、ユーザーの閲覧履歴の監視、スクリーンショットの撮影、有害なスクリプトの挿入など、さまざまな悪意のある活動を実行できます。

Rilide Stealer は、機密データを盗んだり、さまざまな暗号交換から暗号通貨を吸い上げたりすることもできます。 Rilide には、ユーザーをだまして 2 要素認証コードを入力させる偽のプロンプトを表示する機能が備わっています。その結果、マルウェアは被害者のアカウントからデジタル資産を引き出すことができるようになります。これにより、Rilide は Chromium ベースの Web ブラウザを使用するすべての人にとって重大な脅威になります。 Rilide Stealer とその攻撃キャンペーンに関する詳細は、Trustwave SpiderLabs Research の研究者によるレポートで公開されました。

2 つの異なる攻撃キャンペーンで Rilide Stealer を展開

発表された調査結果によると、2 つの別個の攻撃が発見されました。1 つはEkipa RATを使用し、もう 1 つはAurora Stealerを使用してブラウザ拡張機能を装った Rilide マルウェアをインストールしました。 Ekipa RAT は、改ざんされた Microsoft Publisher ファイルを介して拡散されます。一方、Aurora Stealer は不正な Google 広告を使用して拡散し、サイバー犯罪者の間で人気が高まっています。どちらの攻撃チェーンでも、Rust ベースのローダーを実行できます。アクティブ化された後、ブラウザの LNK ショートカット ファイルを変更し、「--load-extension」コマンド ラインを使用してブラウザ アドオンを起動します。

Rilide Stealer は、暗号通貨の自動引き出しを実行できます

Rilide Stealer は、仮想通貨取引所からの自動出金機能を搭載しています。この機能がバックグラウンドで動作している間、ユーザーには、2FA (2 要素認証) コードを取得するために、一般的に使用される正当なセキュリティ機能を模倣した偽造デバイス認証ダイアログ ボックスが表示されます。このコードは、ユーザーの身元を確認し、出金リクエストを承認するために使用されるセキュリティ対策です。

さらに、Rilide には、取引所から送信された電子メールの確認を置き換える機能があり、引き出し要求についてユーザーに通知します。ユーザーが同じ Web ブラウザーを使用して電子メール アカウントを入力すると、これらの確認はその場で置き換えられます。引き出しリクエストの電子メール確認は、代わりにデバイス認証リクエストに置き換えられ、ユーザーをだまして認証コードを提供させます。その結果、攻撃者は取引所が実施したセキュリティ対策を無視して、ユーザーのアカウントから資金を盗むことができます。

サイバー犯罪者は巧妙な脅威を開発し続けています

Rilide スティーラーは、悪意のあるブラウザ拡張機能の巧妙化の一例です。 Rilide は正規の Google ドライブ拡張機能に偽装していますが、実際には攻撃者がさまざまな悪意のある活動を実行するために使用するツールです。これらの活動には、スクリーンショットの撮影、被害者の閲覧履歴のスパイ、仮想通貨取引所から資金を盗むための悪意のあるスクリプトの挿入が含まれます。

未承諾の電子メールやメッセージを扱うときは、用心深く注意してください。フィッシング攻撃の犠牲になるリスクを抑えるには、最新のサイバーセキュリティの脅威とそれを阻止するためのベスト プラクティスについて情報を得て教育することも最も重要です。サイバーセキュリティの最新の開発状況を常に把握することで、個人は積極的な対策を講じて個人情報を保護し、潜在的な攻撃から保護することができます