นักวิจัยด้านความปลอดภัยพบ extension ที่เป็นอันตรายตัวใหม่บนเบราว์เซอร์ที่ชื่อว่า 'Rilide' ซึ่งกำหนดเป้าหมายไปที่เบราว์เซอร์ที่ใช้ Chromium-based เช่น Google Chrome, Brave, Opera และ Microsoft Edge
โดยมัลแวร์ได้รับการออกแบบมาเพื่อตรวจสอบการใช้งานบนเบราว์เซอร์ บันทึกภาพหน้าจอ และขโมย cryptocurrency ผ่านทางสคริปต์ที่แทรกไว้ในหน้าเว็บ
นักวิจัยจาก Trustwave SpiderLabs พบว่า Rilide จะปลอมตัวเหมือนเป็น extension ของ Google Drive เพื่อความแนบเนียนในการซ่อนตัว
โดยนักวิจัยพบ 2 แคมเปญที่ถูกใช้ในการเผยแพร่ Rilide ดังนี้
- การใช้ Google Ads และ Aurora Stealer เพื่อดาวน์โหลด extension มาติดตั้งโดยใช้ Rust loader
- ติดตั้ง extension ผ่านทาง Ekipa remote access trojan (RAT)
ปัจจุบันยังไม่ทราบแหล่งที่มาที่แน่ชัดของมัลแวร์ แต่ Trustwave รายงานว่ามัลแวร์ดังกล่าวมีความคล้ายกับ extension ที่มีการประกาศขายในฟอรัมใต้ดินก่อนหน้านี้
โดย Rilide จะทำการแก้ไข shortcut ไฟล์ของเว็บเบราว์เซอร์ เพื่อทำให้มัลแวร์ทำงานได้ทุกครั้งเมื่อมีการเปิดเบราว์เซอร์
ลักษณะการทำงาน
- เมื่อเริ่มทำงาน มัลแวร์จะเรียกใช้สคริปต์เพื่อตรวจสอบการเข้าใช้งานเว็บไซต์ของเหยื่อว่าตรงกับเว็บไซต์เป้าหมายที่ได้รับคำสั่งจาก command and control (C2) หรือไม่
- หากตรงกัน extension จะโหลดสคริปต์เพิ่มเติมแทรกลงในหน้าเว็บเพื่อขโมยข้อมูลจากเหยื่อ เช่น ข้อมูล credential ของ cryptocurrency หรือของบัญชีอีเมล เป็นต้น
- extension ยังสามารถปิดการใช้งาน ‘Content Security Policy’ ซึ่งถูกออกแบบมาเพื่อป้องกันการโจมตีแบบ cross-site scripting (XSS) เพื่อทำให้เบราว์เซอร์สามารถโหลดข้อมูลบางอย่างซึ่งโดยปกติแล้วจะถูกบล็อกได้
โดย extension ยังทำการส่งข้อมูลประวัติการเข้าใช้งานเว็บไซต์ของเหยื่อ รวมถึงบันทึกภาพหน้าจอ และส่งกลับไปยัง C2 Server อยู่ตลอดเวลา
นอกจากนี้คุณสมบัติที่น่าสนใจใน Rilide คือการ bypass 2FA โดยเมื่อเหยื่อมีการทำธุรกรรมเกี่ยวกับ cryptocurrency บนบริการที่ Rilide มีการกำหนดเป้าหมายไว้ มัลแวร์จะแทรกสคริปต์เพื่อให้เหยื่อกรอกรหัส 2FA เมื่อผู้ใช้กรอกรหัส 2FA แล้ว Rilide จะใช้รหัสนั้นเพื่อดำเนินการถอนเงินไปยังที่อยู่กระเป๋าเงินของแฮ็กเกอร์แทน ในส่วนของการยืนยันการทำธุรกรรมก็จะถูกแทนที่โดยข้อความจากแฮ็กเกอร์เช่นเดียวกัน หากผู้ใช้งานเข้าใช้งานอีเมลโดยใช้เว็บเบราว์เซอร์เดียวกัน
จากข้อมูลทั้งหมดแสดงให้เห็นว่า แค่เพียง extension บนเบราว์เซอร์อย่าง Rilide ก็สามารถใช้ในการขโมยเงินของเหยื่อออกไปได้โดยอัตโนมัติ
แม้ว่าปัจจุบันเบราว์เซอร์ที่ใช้ Chromium-based จะมีการใช้งาน Manifest v3 เพื่อช่วยจัดการกับ extension ที่เป็นอันตราย แต่ก็แสดงให้เห็นว่ายังไม่สามารถจัดการกับปัญหาดังกล่าวได้ทั้งหมด
ที่มา : bleepingcomputer
You must be logged in to post a comment.