Rilide Malware bedroht Kryptowährungen in Chromium-Browsern

Rilide-Malware befällt Chromium-Browser und stiehlt Krypto-Coins

Chromium-basierte Browser wie Microsoft Edge, Vivaldi, Opera und Brave sind bei Anwendern sehr beliebt, aber leider auch bei Cyberkriminellen. Ein neues Schadprogramm namens Rilide wurde von Forschern des Sicherheitsunternehmens Trustwave entdeckt, das es auf die Kryptowährungen von Nutzern dieser Browser abgesehen hat. Die Malware tarnt sich als Google-Drive-Erweiterung und täuscht ihre Opfer, indem sie in Echtzeit Bestätigungsmails austauscht. Auf diese Weise fordert sie die Eingabe korrekter 2FA-Codes an und umgeht aktive Zwei-Faktor-Authentifizierungen.



Rilide verbreitet sich per Erweiterung


Rilide ist eine raffinierte Schadsoftware, die auf die Durchführung verschiedener bösartiger Aktivitäten abzielt, darunter die Überwachung des Browserverlaufs, die Erstellung von Screenshots und die Injektion bösartiger Skripte. Dadurch können Angreifer Geld von verschiedenen Kryptowährungsbörsen abheben. Die Malware tarnt sich als vermeintliche Google-Drive-Erweiterung und verleitet ihre Opfer zur Eingabe von 2FA-Codes. Die Trustwave-Forscher identifizierten zwei verschiedene Verbreitungskampagnen für die Schadsoftware. In der ersten nutzten die Angreifer verseuchte Microsoft-Publisher-Dateien, um den Remote-Access-Trojaner Ekipa RAT einzuschleusen und Rilide auf das System zu laden. Die zweite Kampagne nutzte gefälschte Google Ads, die auf Phishing-Seiten umleiteten. Dort infizierten die Cyberkriminellen die Systeme der Besucher mit dem Aurora Stealer, einer Go-basierten Schadsoftware-as-a-Service (MaaS). Anschließend konnten sie auch die Rilide-Malware in die Chromium-basierten Browser ihrer Opfer einschleusen.



Rilide zielt auf Krypto-Wallets


Um sicherzustellen, dass die bösartige Erweiterung beim Start des Webbrowsers immer aktiv ist, erweitert der zugehörige Loader dessen Verknüpfungsdatei um den Parameter “-load-extension” sowie den Pfad zu Rilide. Sobald die Chromium-Malware aktiv ist, greift sie automatisch auf die Bestände verschiedener Kryptowährungen zu. Dazu tauscht sie sogar in Echtzeit E-Mail-Bestätigungen in einem im gleichen Browser geöffneten Postfach aus. Auch verleitet sie den Benutzer zur Eingabe korrekter 2FA-Codes. Frühe Versionen von Rilide konnten auch Wallet-Adressen in der Zwischenablage des Zielsystems durch fest codierte Adressen des Angreifers austauschen. Daher landeten von Benutzern transferierte Krypto-Coins direkt in der Wallet des Kriminellen. In neueren Varianten der Malware soll dieses Feature jedoch verschwunden sein.



Manifest v3 kann das Problem nicht vollständig lösen


Obwohl die bevorstehende Einführung von Manifest v3 die Arbeit von Cyberkriminellen erschweren könnte, betonen die Forscher von Trustwave, dass sich das Problem wahrscheinlich nicht vollständig lösen lässt. Denn die meisten der von Rilide genutzten Funktionen seien weiterhin verfügbar. Es ist daher ratsam, Chromium-basierte Browser nur aus vertrauenswürdigen Quellen herunterzuladen und zu installieren. Außerdem sollten Nutzer immer auf der Hut sein und verdächtige Erweiterungen, Dialoge und E-Mails sorgfältig prüfen, bevor sie auf sie zugreifen oder antworten. Denn Vorsicht ist besser als Nachsicht, insbesondere bei der Sicherheit digitaler Vermögenswerte.








Kommentare


Anzeige