Les hackers ciblent à nouveau Navigateurs basés sur Chromium comme Google Chrome, Microsoft Edge et d’autres utilisant un nouveau souche de malware conçu pour siphonner les données sensibles des utilisateurs.
Le malware lui-même a été surnommé Rilide par les chercheurs en sécurité de Trustwave Spider Labs qui a expliqué dans un nouveau rapport (s’ouvre dans un nouvel onglet) qu’il peut effectuer un large éventail d’activités malveillantes, notamment la surveillance de l’historique de navigation, la prise de captures d’écran et le vol de crypto-monnaie à l’aide de scripts injectés dans des sites Web.
Bien que le malware Rilide se propage via une fausse extension de navigateur Google Drive, la société de cybersécurité a également découvert une autre campagne abusant Annonces Google et le Voleur d’aurore pour charger l’extension à l’aide d’un chargeur Rust selon BipOrdinateur (s’ouvre dans un nouvel onglet).
Cela pourrait indiquer que ses créateurs utilisent un Logiciels malveillants en tant que service modèle commercial pour vendre Rilide à d’autres cybercriminels qui l’utilisent ensuite dans leurs propres attaques depuis que Trustwave a trouvé un message sur un forum de piratage en mars de l’année dernière annonçant un botnet avec des capacités similaires.
Quoi qu’il en soit, Rilide est certainement une souche de logiciels malveillants à surveiller, d’autant plus qu’il est capable d’intercepter l’authentification à deux facteurs (2FA) codes et prendre en charge les comptes de messagerie et de chiffrement.
Piratage de navigateurs basés sur Chromium
Le chargeur utilisé par Rilide modifie les fichiers de raccourcis du navigateur dans Chrome ou Edge pour automatiser la extension de navigateur malveillante déposés sur les systèmes infectés par le logiciel malveillant.
À partir de là, il exécute un script qui surveille lorsqu’un utilisateur infecté par le logiciel malveillant change d’onglet, reçoit du contenu du Web ou lorsqu’une page Web finit de se charger. En même temps, il vérifie également si le site Web sur lequel se trouve un utilisateur correspond à une liste de cibles sur une commande et un contrôle (C&C) serveur contrôlé par les pirates à l’origine de la campagne.
Lorsque l’un des sites correspond, l’extension malveillante charge alors des scripts supplémentaires qui sont injectés dans une page Web pour voler des informations sensibles aux victimes liées à la cryptographie, leurs identifiants de compte de messagerie et plus encore.
L’extension abandonnée par Rilide peut même désactiver une fonctionnalité de sécurité appelée « Politique de sécurité du contenu » qui est utilisée pour se protéger contre les scripts intersites (XSS) attaques. Cela lui permet de charger des ressources externes qui seraient normalement bloquées par votre navigateur.
Une chose pour laquelle Rilide est particulièrement doué est voler la crypto-monnaie. Pour ce faire, il utilise de fausses boîtes de dialogue pour inciter les victimes à saisir leurs codes temporaires. Ce système est activé une fois qu’une victime tente de retirer la crypto d’un échange de crypto-monnaie.
Étonnamment, le logiciel malveillant Rilide peut également remplacer les confirmations par e-mail dans la boîte de réception d’une victime si elle accède à son e-mail en utilisant le même navigateur, ce que les gens font souvent.
Comment se protéger des extensions de navigateur malveillantes
Dans son rapport sur la question, Trustwave SpiderLabs souligne que lorsque Google commencera à appliquer Manifeste V3 qu’il pourrait être plus difficile pour les pirates d’utiliser des extensions malveillantes dans leurs attaques. Cependant, cela ne résoudra pas entièrement le problème puisque « la plupart des fonctionnalités exploitées par Rilide seront toujours disponibles ».
Lorsqu’il s’agit de vous protéger des extensions de navigateur malveillantes, le meilleur logiciel antivirus peut vous empêcher d’être infecté par des logiciels malveillants ou de vous faire voler vos données. De même, le meilleurs services de protection contre le vol d’identité peut vous aider à récupérer les fonds perdus volés par des pirates et à restaurer votre identité en cas de vol.
Lors de l’installation de nouvelles extensions de navigateur, vous souhaitez uniquement utiliser des sources fiables telles que le Chrome Web Store ou le magasin de modules complémentaires Microsoft Edge. Il vaut également la peine de limiter le nombre d’extensions que vous avez installées dans votre navigateur de la même manière que vous voulez éviter installer des applications inutiles sur votre smartphone.
Compte tenu de la complexité du logiciel malveillant Rilide et de l’extension de navigateur malveillante qu’il utilise, ce n’est probablement pas la dernière fois que nous entendrons parler de son utilisation par les pirates dans leurs attaques.