New Rilide Malware Targeting Chromium-Based Browsers to Steal Cryptocurrency
2023/04/04 TheHackerNews — Chromium ベースの Web ブラウザが、新しいマルウェア Rilide の標的になっている。このマルウェアは、正規のエクステンションを装い、機密データを採取し、暗号通貨を吸い上げる。Trustwave SpiderLabs Research は、「Rilide マルウェアは、正規の Google Drive エクステンションに偽装されており、脅威アクターに対して各種の悪意のアクティビティを提供する。具体的に言うと、閲覧履歴の監視/スクリーンショットの撮影に加えて、各種の暗号通貨取引所から資金を引き出すための悪意のスクリプトの挿入なども可能にする」と、The Hacker News に提供されたレポートで述べている。
しかも、この情報スティーラー・マルウェアは、偽造ダイアログを表示してユーザーを欺き、デジタル資産を引き出すための2FAコードの入力を促す。
Trustwave は、悪意のブラウザ・エクステンションのインストールつながった、Ekipa RAT/Aurora Stealer の2種類のキャンペーンを確認したと述べている。
Ekipa RAT がブービートラップ付きの Microsoft Publisher ファイルを介して配布されるのに対して、Aurora Stealer は不正な Google Ads が配布ベクターとして機能する (最近の数ヶ月で、この手法による攻撃が増えている) 。
どちらの攻撃手法も、Rust ベースのローダーを実行させ、ブラウザの LNK ショートカット・ファイルを変更し、”–load-extension” コマンドライン・スイッチを用いてアドオンを起動させる。
Rilide の正確な起源は不明だが、2022年3月に脅威アクターが行った、同様の機能を持つボットネットを宣伝する投稿を、地下フォーラムで見つけることができたと、Trustwave は述べている。その後、支払いに関する揉め事の結果として、このマルウェアのソースコードの一部がフォーラムに流出した。
流出したソースコードに実装されている注目すべき機能の1つは、クリップボードに保持された暗号通貨ウォレットのアドレスを、ハードコードされた脅威アクターのアドレスと交換する機能である。
さらに、Rilide のコード内で指定された Command and Control (C2) アドレスにより、gulantin という名のユーザーが所有する各種の GitHub リポジトリを特定できた。そこに、このエクステンション・ローダーも置かれていたという。
Trustwave は、「Rilide ステイラーは、悪意のブラウザ・エクステンションの洗練が進み、それらがもたらす危険性を示す代表的な事例である。今年に施行される manifest v3 により、脅威アクターの活動が制約されるかもしれないが、Rilide が活用する機能の大半は、依然として利用可能である。したがって、この問題を完全に解決できるとは考えられない」と結論付けている。
Chromium を狙う、偽物の Google Drive エクステンションという、とても怖い Rilide マルウェアの話です。その対象は、Chrome だけではなく、Edge/Brave/Opera などにも広がるはずです。Chromium エクステンションへの攻撃については、2021/09/10 の「Google Chrome/Chromium で発見された Spook.js サイドチャネル攻撃とは?」で、別のパターンが詳述されているので、よろしければ、ご参照ください。なお、関連記事は、以下のとおりです。
2023/03/22:Facebook ハイジャック:悪意のエクステンション
2022/10/03:Chromium アプリ・モードの危険性
2022/08/02:Chromium のブックマーク同期の問題
IoT OT Security News 
You must be logged in to post a comment.