L’extension de navigateur malveillante Rilide Stealer Chrome est de retour dans de nouvelles campagnes ciblant les utilisateurs de crypto et les employés d’entreprise pour voler des informations d’identification et des portefeuilles de crypto.

Rilide est une extension de navigateur malveillante pour les navigateurs basés sur Chromium, notamment Chrome, Edge, Brave et Opera, que Trustwave SpiderLabs a initialement découvert en avril 2023.

Lorsqu’elle a été découverte pour la première fois, l’extension de navigateur Rilide s’est fait passer pour les extensions légitimes de Google Drive pour détourner le navigateur, surveiller toutes les activités des utilisateurs et voler des informations telles que les identifiants de compte de messagerie ou les actifs de crypto-monnaie.

Trustwave Spiderlabs a découvert une nouvelle version de Rilide qui prend désormais en charge le Chrome Extension Manifest V3, lui permettant de surmonter les restrictions introduites par les nouvelles spécifications d’extension de Google et d’ajouter un obscurcissement de code supplémentaire pour échapper à la détection.

De plus, la dernière extension de malware Rilide cible désormais également les comptes bancaires. Il peut exfiltrer les données volées via un canal Telegram ou en capturant des captures d’écran à des intervalles prédéterminés et en les envoyant au serveur C2.

Imitation d’extensions Palo Alto
Trustwave rapporte que Rilide se propage dans plusieurs campagnes en cours, et comme il s’agit d’un malware de base vendu sur des forums de pirates, il est probable qu’ils soient menés par différents acteurs de la menace.

Une campagne cible plusieurs banques, fournisseurs de paiement, fournisseurs de services de messagerie, plates-formes d’échange de crypto, VPN et fournisseurs de services cloud, en utilisant des scripts d’injection, se concentrant principalement sur les utilisateurs en Australie et au Royaume-Uni.

Les analystes ont découvert plus de 1 500 pages de phishing utilisant des domaines de typosquattage, promues via l’empoisonnement SEO sur les moteurs de recherche de confiance et usurpant l’identité des banques et des fournisseurs de services pour inciter les victimes à entrer leurs informations d’identification de compte sur des formulaires de phishing.

Hameçonnage de la page HSBC dans le cadre d’une campagne Rilide

Dans un autre cas, les utilisateurs sont infectés via des e-mails de phishing censés promouvoir des applications VPN ou pare-feu, telles que l’application GlobalProtect de Palo Alto.

Dans cette campagne, Trustwave a trouvé une présentation PowerPoint ciblant les employés de ZenDesk qui prétend intelligemment être un avertissement de sécurité, guidant les utilisateurs dans l’installation de l’extension.

Cette présentation comprend des diapositives qui avertissent que les acteurs de la menace se font passer pour GlobalProtect pour distribuer des logiciels malveillants et fournit des étapes que l’utilisateur doit suivre les étapes du guide pour installer le logiciel approprié.

Cependant, il s’agit en fait d’une astuce d’ingénierie sociale pour amener l’utilisateur ciblé à installer l’extension Rilide malveillante à la place.

Doc PowerPoint créé pour guider les utilisateurs dans l’installation de Rilide

Enfin, Trustwave a repéré une campagne qui se déroule sur Twitter, amenant les victimes sur des sites Web de phishing pour de faux jeux blockchain P2E (Play To Earn). Cependant, les installateurs de ces sites installent l’extension Rilide à la place, permettant aux acteurs de la menace de voler les portefeuilles de crypto-monnaie des victimes.

Chaînes d’infection pour trois campagnes Rilide

Quelle que soit la campagne de distribution, lors de l’installation, l’extension communique avec le serveur des attaquants et reçoit l’une des commandes suivantes :

  • extension – Activez ou désactivez une extension à partir de la liste des extensions installées.
  • Info – Envoie des informations sur le système et le navigateur au serveur C2. Obtenez tous les paramètres de configuration.
  • Push – Crée une notification avec un message, un titre et une icône spécifiés. En cliquant sur la notification, un nouvel onglet avec l’URL du serveur C2 sera ouvert.
  • Cookies – Obtenez tous les cookies du navigateur et envoyez-les au serveur C2.
  • Capture d’écran – Capture la zone visible de l’onglet actuellement actif dans la fenêtre actuelle.
  • url – Créer un nouvel onglet avec l’URL fournie.
  • current_url – Récupérer l’URL de l’onglet actif.
  • Historique – Obtenez l’historique de navigation des 30 derniers jours.
  • Injects – Récupère le code d’injection à appliquer à des URL spécifiques.
  • Paramètres – Récupère la configuration des paramètres de proxy, de saisie et de télégramme.
  • Proxy – Activez ou désactivez le proxy. Les acteurs de la menace utilisent l’implémentation de proxy de l’outil ‘CursedChrome’ permettant de naviguer sur le Web authentifié en tant que victime.
  • screenshot_rules – Met à jour la liste des règles pour le module saisissant des captures d’écran à des intervalles de temps spécifiés.

Grâce à cet ensemble complet de commandes, les acteurs de la menace peuvent voler une grande variété d’informations qui peuvent ensuite être utilisées pour les portefeuilles cryptographiques et accéder à leurs comptes en ligne.

Contournement du manifeste V3
L’adaptation de Rilide à Manifest V3 est vitale pour son fonctionnement et son succès, car la nouvelle norme de Google empêche les anciennes extensions de cesser de fonctionner depuis janvier 2023.

Manifest V3 limite l’accès de l’extension aux requêtes réseau des utilisateurs, empêche le chargement de code à partir de sources distantes et déplace toutes les modifications de requête réseau des extensions vers le navigateur.

Cela a un impact sur Rilide car il repose sur l’injection de scripts JS hébergés à distance, de sorte que ses auteurs ont dû mettre en œuvre une combinaison de techniques divulguées publiquement qui contournent les exigences de Google.

Par exemple, les analystes de Trustwave rapportent que la nouvelle version utilise des événements en ligne pour exécuter du JavaScript malveillant et abuse des API Declarative Net Requests pour contourner le mécanisme de prévention XSS mis en place par la Content Security Policy (CSP).

Étant donné que Rilide n’est pas distribué via le Chrome Web Store, où les politiques de Manifest V3 sont strictement appliquées, ses auteurs peuvent mettre en œuvre des solutions de contournement pour exécuter du code hébergé à distance.

Tableau des fonctions complètes de Rilide

Gagner en popularité auprès des pirates
Les chercheurs de Trustwave ont observé l’utilisation de multiples compte-gouttes pour Rilide, ce qui s’explique par le fait que le malware est vendu 5 000 $ à des cybercriminels, qui doivent concevoir leur propre méthode de distribution.

De plus, il y a eu plusieurs fuites de code source Rilide potentiellement authentiques dans des forums clandestins, exposant le code source du logiciel malveillant à de nombreux pirates.

Tout cela ajoute de la variété dans la nature et rend les campagnes Rilide plus difficiles à cartographier et à suivre.

Alors que l’auteur original du logiciel malveillant continue d’améliorer l’extension Chrome malveillante, l’activité de Rilide dans la nature ne devrait pas diminuer.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *