Les chercheurs en sécurité ont découvert une nouvelle extension de navigateur malveillante appelée Rilide, qui cible les produits basés sur Chromium comme Google Chrome, Brave, Opera et Microsoft Edge.

Le logiciel malveillant est conçu pour surveiller l’activité du navigateur, prendre des captures d’écran et voler de la crypto-monnaie via des scripts injectés dans des pages Web.

Les chercheurs de Trustwave SpiderLabs ont découvert que Rilide imitait les extensions bénignes de Google Drive pour se cacher à la vue tout en abusant des fonctionnalités intégrées de Chrome.

La société de cybersécurité a détecté deux campagnes distinctes qui ont distribué Rilide. L’un utilisait Google Ads et Aurora Stealer pour charger l’extension à l’aide d’un chargeur Rust. L’autre a distribué l’extension malveillante à l’aide du cheval de Troie d’accès à distance Ekipa (RAT).

Bien que l’origine du malware soit inconnue, Trustwave rapporte qu’il a des chevauchements avec des extensions similaires vendues aux cybercriminels. Dans le même temps, des parties de son code ont récemment été divulguées sur un forum clandestin en raison d’un différend entre cybercriminels concernant un paiement non résolu.

Un parasite dans le navigateur
Le chargeur de Rilide modifie les fichiers de raccourcis du navigateur Web pour automatiser l’exécution de l’extension malveillante déposée sur le système compromis.

Lors de l’exécution, le logiciel malveillant exécute un script pour attacher un écouteur qui surveille lorsque la victime change d’onglet, reçoit du contenu Web ou que les pages Web finissent de se charger. Il vérifie également si le site actuel correspond à une liste de cibles disponibles à partir du serveur de commande et de contrôle (C2).

S’il y a une correspondance, l’extension charge des scripts supplémentaires injectés dans la page Web pour voler à la victime des informations relatives aux crypto-monnaies, aux identifiants de compte de messagerie, etc.

L’extension désactive également la « politique de sécurité du contenu », une fonctionnalité de sécurité conçue pour se protéger contre les attaques de script intersite (XSS), pour charger librement des ressources externes que le navigateur bloquerait normalement.

En plus de ce qui précède, l’extension exfiltre régulièrement l’historique de navigation et peut également capturer des captures d’écran et les envoyer au C2.

Contourner l’authentification à deux facteurs
Une caractéristique intéressante de Rilide est son système de contournement 2FA, qui utilise des dialogues falsifiés pour inciter les victimes à entrer leurs codes temporaires.

Le système est activé lorsque la victime initie une demande de retrait de crypto-monnaie vers un service d’échange ciblé par Rilide. Le malware intervient au bon moment pour injecter le script en arrière-plan et traiter la demande automatiquement.

Une fois que l’utilisateur a saisi son code dans la fausse boîte de dialogue, Rilide l’utilise pour terminer le processus de retrait à l’adresse du portefeuille de l’auteur de la menace.

« Les confirmations par e-mail sont également remplacées à la volée si l’utilisateur entre dans la boîte aux lettres en utilisant le même navigateur Web », explique Trustwave dans le rapport.

« L’e-mail de demande de retrait est remplacé par une demande d’autorisation d’appareil incitant l’utilisateur à fournir le code d’autorisation. »

Rilide présente la sophistication croissante des extensions de navigateur malveillantes qui sont désormais livrées avec une surveillance en direct et des systèmes automatisés de vol d’argent.

Alors que le déploiement de Manifest v3 sur tous les navigateurs basés sur Chromium améliorera la résistance contre les extensions malveillantes, Trustwave commente qu’il n’éliminera pas le problème.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *