کمیته رکن چهارم – هکرها با استفاده از راههای جدیدی چون آلوده کردن فایلهای پاورپوینت به انتشار بدافزار روی آوردهاند.
محققان امنیت سایبری از Trustwave Spiderlabs یک نسخه بهروز شده از بدافزار Rilide Stealer را کشف کردند؛ یک افزونه مخرب گوگل کروم که قادر به سرقت اطلاعات ورود افراد، حسابهای بانکی و ارزهای دیجیتال ذخیره شده در افزونههای کیف پول آنهاست.
این افزونه روی مرورگرهای مبتنی بر کرومیوم از جمله کروم، اج، Brave و اپرا کار میکند. در حالی که افزونههای مخرب چیز جدیدی نیستند، روش توزیع برای این نسخه خاص تا حدودی جدید است.
طبق گزارش محققان، عاملان تهدید، ایمیلهای فیشینگ را توزیع میکردند و در آنها جعل هویت محصولات VPN و ارائهدهندگان خدمات فایروال، مانند برنامه GlobalProtect Palo Alto را جعل میکردند. در ایمیلها، آنها به گیرندگان در مورد یک تهدید سایبری که در طبیعت کمین کرده هشدار میدادند و از طریق ارائه پاورپوینت راهنمایی میکردند که چگونه افزونه قانونی را نصب کنند و بنابراین از ایمنی نقاط پایانی خود اطمینان حاصل کنند. با این حال، پیوندهای ارائه شده در ارائه فایل پاورپوینت مستقیماً به بدافزار منتهی میشود.
اگر قربانیان به این بدافزار آلوده شوند و Rilide را نصب کنند، بدافزار چندین بانک، ارائهدهندگان پرداخت، ارائهدهندگان خدمات ایمیل، پلتفرمهای مبادله ارزهای دیجیتال، VPNها و ارائهدهندگان خدمات ابری را هدف قرار میدهد. این بدافزار با استفاده از اسکریپتهای تزریقی کار میکند و بیشتر بر روی اهدافی که در استرالیا و بریتانیا زندگی میکنند، تمرکز میکند.
نسخه جدید بدافزار همچنین جالب است زیرا با موفقیت Chrome Extension Manifest V3 را دور میزند – محدودیتهای افزودنی جدید معرفیشده گوگل که قرار بود از کاربران در برابر افزونههای مخرب محافظت کند.
سپس دادههای دزدیده شده به کانال تلگرام منتقل میشوند یا از طریق اسکرینشاتها به سرور C2 از پیش تعیینشده تحویل داده میشوند.
محققان دقیقا نمیدانند چه کسی پشت این کمپین است زیرا Rilide یک بدافزار کالایی است که در انجمنهای هکرها فروخته میشود و به احتمال زیاد در کمپینهای مختلف استفاده میشود. در این نمونه خاص، مهاجمان بیش از ۱۵۰۰ صفحه فیشینگ (با دامنههای تایپی اسکوات) تولید کردند و آنها را از طریق مسمومیت SEO در موتورهای جستجوی مورد اعتماد تبلیغ کردند. آنها همچنین بانکها و ارائهدهندگان خدمات را جعل کردند تا قربانیان اطلاعات ورود خود را تایپ کنند.
توییتر نیز برای این کمپین مورد سوءاستفاده قرار میگیرد و افراد را به سمت وبسایتهای فیشینگ برای بازیهای بلاکچین بازی برای کسب درآمد فریب میدهد.
منبع: افتانا