Les chercheurs en cybersécurité de Trustwave SpiderLabs ont découvert une nouvelle souche de malware qui cible les portefeuilles de crypto-monnaie des victimes.
Surnommé Rilide, le malware se présente comme une extension pour les navigateurs basés sur Chromium tels que Google Chrome, Microsoft Edge, Brave ou Opera.
Le malware se présente comme une extension légitime pour Google Drive, et si les gens l’installaient sur leurs terminaux, ils donneraient au malware la possibilité de surveiller leur historique de navigation, de prendre des captures d’écran et même d’injecter des scripts malveillants qui tireraient tout leur argent trouvé dans les échanges de crypto-monnaie.
Dialogues falsifiés
Ce qui rend ce malware unique, c’est sa capacité à utiliser des « boîtes de dialogue falsifiées » pour inciter les gens à donner leurs clés d’authentification multi-facteurs, puis à extraire des cryptos tout en fonctionnant en arrière-plan. Si le logiciel malveillant détecte que l’utilisateur a un compte sur un échange de crypto-monnaie, il essaiera de faire une demande de retrait en arrière-plan, tout en présentant à l’utilisateur une boîte de dialogue d’authentification de périphérique falsifiée, pour obtenir le code 2FA.
Habituellement, les échanges de crypto-monnaie informaient également les utilisateurs des demandes de retrait par e-mail, ce que ce malware essaie également de cacher. Ces confirmations par e-mail sont remplacées « à la volée », ont déclaré les chercheurs, tant que l’utilisateur entre dans la boîte aux lettres à l’aide du même navigateur Web. L’e-mail de demande est remplacé par une demande d’autorisation d’appareil, incitant la victime à donner le code 2FA.
Pour les chercheurs, le voleur Rilide est un « excellent exemple » de la façon dont les extensions de navigateur malveillantes deviennent plus sophistiquées et plus dangereuses. Les entreprises et les consommateurs doivent rester vigilants, à une époque où trop d’informations peuvent émousser nos sens, concluent les chercheurs. Pas toutes les identités (s’ouvre dans un nouvel onglet) sur Internet sont légitimes :
« La surcharge d’informations peut atténuer notre capacité à interpréter les faits avec précision et nous rendre plus vulnérables aux tentatives de phishing. Il est important de rester vigilant et sceptique lors de la réception d’e-mails ou de messages non sollicités, et de ne jamais supposer qu’un contenu sur Internet est sûr, même s’il semble l’être.