Rilide — вредонос для кражи криптовалюты маскирующийся под расширения для Chromium

Trustwave в блоге SpiderLabs рассказали про необычный зловерд Rilide, который старается замаскироваться под расширение для Google Chrome или браузеры на Chromium. По сути, он им является, только цель — списать криптовалюту со счета пользователя.

Заражения может проходить по двум сценариям. Первый при получении файла Microsoft Publisher (*.pub) который меняет свое расширение и устанавливает себя в браузер. Второй — при помощи объявлений в Google Ads, вредоносная ссылка скачивает расширение.

При установке браузер ведет себя как обычно за исключением попытки авторизоваться в криптовалютном кошельке. Авторизация происходит в схожем окне, а когда вводятся данные для поддельного пользователя, производится фоновое списывание валюты.

Причем, в случае с Gmail, подтвержден факт замены текста в письмах с предупреждениями на письма с подтверждением с двухфакторной аутентификацией. В основном, Rilide не единственный вредонос, который нацелен на подобный сценарий. Заражение со случайно полученного файла — уже является негласной основой безопасности и дополнительной проверки. А то, что реклама в Google Ads не вся полезная — тоже не новость для многих. Причиной последнего может быть отсутствие нормальной модерации со стороны людей или проблема больших чисел, ведь рекламная платформа от Google остается очень большой.

По материалам: trustwave.com