Los investigadores de ciberseguridad de Trustwave SpiderLabs han descubierto una nueva variedad de malware llamada Rilide que se dirige a los navegadores basados en Chromium como Google Chrome, Microsoft Edge, Brave y Opera y roba las criptomonedas de los usuarios.
El virus Rilide afecta a los poseedores de criptomonedas
Rilide se diferencia de otras cepas de malware que SpiderLabs ha encontrado en que emplea diálogos falsificados para engañar a los usuarios para que entreguen sus códigos de autenticación de dos factores (2FA). Esto permite que el malware retire criptomonedas en segundo plano sin el conocimiento del usuario.
Rilide se hace pasar por una extensión legítima de Google Drive y permite a los ciberdelincuentes realizar una variedad de actividades que incluyen obtener datos del historial de navegación, tomar capturas de pantalla y retirar fondos de varios intercambios de criptomonedas.
Los scripts de intercambio criptográfico de Rilide admiten una función de retiro. Mientras los retiros se procesan en segundo plano, al usuario se le presenta un cuadro de diálogo de autenticación de dispositivo falsificado para obtener su código 2FA. Las confirmaciones por correo electrónico se reemplazan sobre la marcha si el usuario ingresa a su buzón usando el mismo navegador web, engañando al usuario para que proporcione el código de autorización.
En el curso de su investigación, SpiderLabs encontró varias extensiones de robo a la venta con capacidades similares a Rilide, pero no pudieron vincular definitivamente ninguna de ellas con el malware. También descubrieron un anuncio de venta de botnet de un foro clandestino con fecha de marzo de 2022, que incluía funciones como un proxy inverso y un clicker de anuncios.
La función de retiro automático de la botnet atacó los mismos intercambios observados en las muestras de Rilide.
Rilide sirve como un excelente ejemplo de la sofisticación en desarrollo de las extensiones de navegador maliciosas y los peligros que representan. Aunque la próxima aplicación del manifiesto v3 puede plantear más desafíos para que los actores de amenazas operen, es poco probable que resuelva el problema por completo, ya que la mayoría de las funcionalidades aprovechadas por Rilide seguirán estando disponibles.
Para protegerse contra este tipo de amenazas, es esencial mantenerse alerta al recibir correos electrónicos o mensajes no solicitados, y mantenerse informado sobre las últimas amenazas de ciberseguridad y prácticas de seguridad para minimizar el riesgo de ser víctima de ataques de phishing.