แฮ็กเกอร์ใช้ extension บนเบราว์เซอร์ชื่อ ‘Rilide’ เพื่อ bypass 2FA ขโมยเงิน crypto [EndUser]

นักวิจัยด้านความปลอดภัยพบ extension ที่เป็นอันตรายตัวใหม่บนเบราว์เซอร์ที่ชื่อว่า 'Rilide' ซึ่งกำหนดเป้าหมายไปที่เบราว์เซอร์ที่ใช้ Chromium-based เช่น Google Chrome, Brave, Opera และ Microsoft Edge

โดยมัลแวร์ได้รับการออกแบบมาเพื่อตรวจสอบการใช้งานบนเบราว์เซอร์ บันทึกภาพหน้าจอ และขโมย cryptocurrency ผ่านทางสคริปต์ที่แทรกไว้ในหน้าเว็บ

นักวิจัยจาก Trustwave SpiderLabs พบว่า Rilide จะปลอมตัวเหมือนเป็น extension ของ Google Drive เพื่อความแนบเนียนในการซ่อนตัว

โดยนักวิจัยพบ 2 แคมเปญที่ถูกใช้ในการเผยแพร่ Rilide ดังนี้

  1. การใช้ Google Ads และ Aurora Stealer เพื่อดาวน์โหลด extension มาติดตั้งโดยใช้ Rust loader
  2. ติดตั้ง extension ผ่านทาง Ekipa remote access trojan (RAT)

ปัจจุบันยังไม่ทราบแหล่งที่มาที่แน่ชัดของมัลแวร์ แต่ Trustwave รายงานว่ามัลแวร์ดังกล่าวมีความคล้ายกับ extension ที่มีการประกาศขายในฟอรัมใต้ดินก่อนหน้านี้

โดย Rilide จะทำการแก้ไข shortcut ไฟล์ของเว็บเบราว์เซอร์ เพื่อทำให้มัลแวร์ทำงานได้ทุกครั้งเมื่อมีการเปิดเบราว์เซอร์

ลักษณะการทำงาน

  • เมื่อเริ่มทำงาน มัลแวร์จะเรียกใช้สคริปต์เพื่อตรวจสอบการเข้าใช้งานเว็บไซต์ของเหยื่อว่าตรงกับเว็บไซต์เป้าหมายที่ได้รับคำสั่งจาก command and control (C2) หรือไม่
  • หากตรงกัน extension จะโหลดสคริปต์เพิ่มเติมแทรกลงในหน้าเว็บเพื่อขโมยข้อมูลจากเหยื่อ เช่น ข้อมูล credential ของ cryptocurrency หรือของบัญชีอีเมล เป็นต้น
  • extension ยังสามารถปิดการใช้งาน ‘Content Security Policy’ ซึ่งถูกออกแบบมาเพื่อป้องกันการโจมตีแบบ cross-site scripting (XSS) เพื่อทำให้เบราว์เซอร์สามารถโหลดข้อมูลบางอย่างซึ่งโดยปกติแล้วจะถูกบล็อกได้

โดย extension ยังทำการส่งข้อมูลประวัติการเข้าใช้งานเว็บไซต์ของเหยื่อ รวมถึงบันทึกภาพหน้าจอ และส่งกลับไปยัง C2 Server อยู่ตลอดเวลา

นอกจากนี้คุณสมบัติที่น่าสนใจใน Rilide คือการ bypass 2FA โดยเมื่อเหยื่อมีการทำธุรกรรมเกี่ยวกับ cryptocurrency บนบริการที่ Rilide มีการกำหนดเป้าหมายไว้ มัลแวร์จะแทรกสคริปต์เพื่อให้เหยื่อกรอกรหัส 2FA เมื่อผู้ใช้กรอกรหัส 2FA แล้ว Rilide จะใช้รหัสนั้นเพื่อดำเนินการถอนเงินไปยังที่อยู่กระเป๋าเงินของแฮ็กเกอร์แทน ในส่วนของการยืนยันการทำธุรกรรมก็จะถูกแทนที่โดยข้อความจากแฮ็กเกอร์เช่นเดียวกัน หากผู้ใช้งานเข้าใช้งานอีเมลโดยใช้เว็บเบราว์เซอร์เดียวกัน

จากข้อมูลทั้งหมดแสดงให้เห็นว่า แค่เพียง extension บนเบราว์เซอร์อย่าง Rilide ก็สามารถใช้ในการขโมยเงินของเหยื่อออกไปได้โดยอัตโนมัติ

แม้ว่าปัจจุบันเบราว์เซอร์ที่ใช้ Chromium-based จะมีการใช้งาน Manifest v3 เพื่อช่วยจัดการกับ extension ที่เป็นอันตราย แต่ก็แสดงให้เห็นว่ายังไม่สามารถจัดการกับปัญหาดังกล่าวได้ทั้งหมด

ที่มา : bleepingcomputer