Posté le avril 7, 2023 à 5:09

DES CHERCHEURS DÉTECTENT UNE EXTENSION DE NAVIGATEUR MALVEILLANTE QUI SURVEILLE L’ACTIVITÉ DU NAVIGATEUR ET VOLE DU CRYPTOMONNAIE

Des chercheurs en cybersécurité ont détecté une extension de navigateur malveillante connue sous le nom de Rilide. Cette extension cible les produits basés sur Chromium tels que Brave, Google Chrome, Microsoft Edge et Opera.

Des chercheurs détectent une extension de navigateur malveillante

Les extensions de navigateur ont, par le passé, été associées à des campagnes de logiciels malveillants. Les hackers utilisent sans relâche ces outils pour mener leurs attaques de piratage malveillantes. L’extension de navigateur Rilide est devenue la dernière victime en date des campagnes de logiciels malveillants menées par des acteurs de la menace.

Le logiciel malveillant en question a été créé pour surveiller l’activité du navigateur, réaliser des captures d’écran et voler des cryptomonnaies à l’aide de scripts intégrés dans les pages web. Selon les chercheurs, ce logiciel malveillant pourrait fonctionner sans éveiller les soupçons.

Le logiciel malveillant a été détecté par les chercheurs de Trustwave SpiderLabs, qui ont déclaré que l’extension de navigateur Rilide imitait les extensions natives de Google Drive pour dissimuler son activité à la vue de tous. Le logiciel malveillant fonctionnait de manière furtive tout en exploitant les fonctionnalités intégrées de Chrome.

La société de cybersécurité a indiqué qu’elle avait identifié deux campagnes distinctes menées par des acteurs de la menace pour répandre Rilide. Dans l’une des campagnes, le hacker utilisait Google Ads et Aurora stealer pour charger l’extension via Rust loader. Dans la seconde campagne, les hackers distribuaient l’extension de navigateur malveillante à l’aide du cheval de Troie d’accès à distance (RAT) Ekipa.

L’origine de ce logiciel malveillant n’a pas encore été établie. Cependant, le rapport de Trustwave indique que le logiciel malveillant recoupe des extensions similaires vendues aux hackers. En outre, des portions du code de ce logiciel malveillant ont été partagées dans un forum clandestin de hackers. Le code a été divulgué au milieu d’un conflit entre hackers à propos d’un paiement manqué.

Le chargeur du logiciel malveillant Rilide modifie les fichiers de raccourcis du navigateur web. Cette action automatise l’exécution de l’extension malveillante qui a été déposée sur le système compromis. Une fois que le logiciel malveillant a été exécuté avec succès sur le navigateur ciblé, il exécutera un script qui attachera un écouteur pour surveiller les actions de la victime, comme le changement d’onglet, l’accès au contenu web, ou lorsque les pages web ont fini de se charger.

Le logiciel malveillant en question surveille également le site en cours pour s’assurer qu’il correspond à la liste de cibles disponible via le serveur de commande et de contrôle (C2). En cas de correspondance, l’extension charge des scripts supplémentaires intégrés à la page web. Ces scripts volent des informations à la victime. Les informations volées peuvent inclure des données relatives à des identifiants de comptes de messagerie et à des cryptomonnaies.

L’extension du navigateur peut également désactiver la « politique de sécurité du contenu ». Cette dernière est un dispositif de sécurité qui protège la cible contre les attaques de type cross-site scripting (XSS). Une fois le dispositif de sécurité désactivé, les ressources externes, que le navigateur bloquerait normalement, peuvent se charger librement.

L’autre capacité de cette extension de navigateur est qu’elle peut régulièrement exfiltrer l’historique de navigation. Il peut aussi faire des captures d’écran et envoyer les images au C2. Les fonctionnalités de ce logiciel malveillant montrent qu’il représente un danger important.

L’extension malveillante peut contourner l’authentification à deux facteurs

L’une des caractéristiques intéressantes de cette extension de navigateur est qu’elle peut être utilisée pour contourner le système d’authentification à deux facteurs. L’extension utilise des boîtes de dialogue qui ont été modifiées pour inciter les victimes à partager leurs codes temporaires.

Le système est activé lorsque la victime demande à retirer des cryptomonnaies vers un service d’échange ciblé par Rilide. Le logiciel malveillant sera automatiquement activé à ce stade pour installer le script en arrière-plan. Le logiciel malveillant traitera la demande de retrait automatiquement et volera les cryptomonnaies.

Une fois que l’utilisateur a saisi son code dans la fausse boîte de dialogue, celui-ci est utilisé par Rilide pour finaliser le processus de retrait vers l’adresse du portefeuille utilisée par l’acteur de la menace. Le rapport publié par Trustwave indique que les confirmations par e-mail sont généralement remplacées à la volée une fois que l’utilisateur est entré dans la boîte de réception avec le même navigateur web.

« Les e-mails de confirmation sont également remplacés à la volée si l’utilisateur entre dans la boîte de réception à l’aide du même navigateur web », précise le rapport. « L’e-mail de demande de retrait est remplacé par une demande d’autorisation de l’appareil, ce qui incite l’utilisateur à fournir le code d’autorisation.

L’utilisation de l’extension Rilide par les acteurs de la menace montre que les hackers deviennent plus sophistiqués dans le lancement de ce type d’attaques. Les extensions malveillantes proposent des systèmes de surveillance en direct et de vol d’argent automatisé.

Le lancement de Manifest v3 sur tous les navigateurs basés sur Chromium renforcera leur capacité à résister aux attaques lancées à l’aide de ces extensions malveillantes. Toutefois, les experts ne pensent pas que cet outil résoudra le problème.