Au cours des dernières années, les extensions de navigateur malveillantes sont devenues un phénomène courant, les pirates les utilisant pour voler des informations privées et même de l’argent. Aujourd’hui, les chercheurs en cybersécurité de Trustwave SpiderLabs ont découvert une nouvelle souche de logiciels malveillants qui cible les portefeuilles de crypto-monnaie. Surnommé Rilide, ce malware se présente comme une extension Google Drive pour les navigateurs basés sur Chromium et, s’il est installé, il peut surveiller l’historique de navigation d’une victime, capturer des captures d’écran et même injecter des scripts malveillants pour retirer de l’argent des échanges de crypto-monnaie.
Comment fonctionne Rilide ?
Une fois Rilide installé, il exécute un script qui surveille les actions de la victime, comme lorsqu’elle change d’onglet ou lorsque le contenu Web est reçu ou que les pages finissent de se charger. Ainsi, si le site actuel correspond à une liste de cibles disponibles à partir du serveur de commande et de contrôle (C2), l’extension charge des scripts supplémentaires qui peuvent voler des informations relatives aux crypto-monnaies, aux informations d’identification du compte de messagerie, etc. De plus, l’extension désactive également la « politique de sécurité du contenu » sur les sites Web ciblés, ce qui protège les utilisateurs contre les attaques de script intersite en bloquant l’installation de ressources externes.
Trustwave dit avoir trouvé deux campagnes distinctes qui ont distribué le malware. Une campagne a utilisé Google Ads et Aurora Stealer pour charger l’extension via un chargeur Rust, tandis que l’autre campagne a utilisé le cheval de Troie d’accès à distance Ekipa (RAT) pour distribuer le malware.
Éviter 2FA
Ce qui distingue Rilide, c’est la façon dont il utilise des « boîtes de dialogue falsifiées » pour inciter les utilisateurs à donner leurs clés d’authentification multi-facteurs. Par conséquent, lorsque le logiciel malveillant détecte qu’un utilisateur possède un compte d’échange de crypto-monnaie, il tente de faire une demande de retrait en arrière-plan tout en présentant une boîte de dialogue d’authentification de périphérique falsifiée pour obtenir le code 2FA. L’extension remplace également les confirmations par e-mail par des demandes d’autorisation d’appareil, incitant ainsi l’utilisateur à fournir le code d’autorisation.
Pour réduire le risque d’être victime de logiciels malveillants tels que Rilide, il est essentiel d’installer uniquement des extensions provenant de sources fiables et d’examiner et de désinstaller régulièrement toutes les extensions inutiles. De plus, les utilisateurs doivent maintenir leur navigateur et leur système d’exploitation à jour avec les derniers correctifs de sécurité et utiliser un logiciel antivirus fiable.
