Ladrón de Rilide
Se ha descubierto una amenaza de malware previamente desconocida llamada Rilide Stealer dirigida a navegadores web basados en el motor Chromium. El malware está diseñado para engañar a los usuarios haciéndose pasar por una extensión legítima de Google Drive. Sin embargo, una vez instalado, puede llevar a cabo una variedad de actividades maliciosas, como monitorear el historial de navegación de un usuario, tomar capturas de pantalla e inyectar scripts dañinos.
El Rilide Stealer también es capaz de robar datos confidenciales y desviar criptomonedas de varios intercambios de criptomonedas. Rilide está equipado con la capacidad de mostrar avisos falsos que engañan a los usuarios para que ingresen un código de autenticación de dos factores. Como resultado, el malware puede retirar activos digitales de la cuenta de la víctima. Esto convierte a Rilide en una amenaza importante para cualquiera que utilice un navegador web basado en Chromium. Los detalles sobre Rilide Stealer y sus campañas de ataque se dieron a conocer al público en un informe de los investigadores de Trustwave SpiderLabs Research.
Tabla de contenido
Dos campañas de ataque diferentes despliegan el ladrón de Rilide
Según los hallazgos anunciados, se descubrieron dos ataques separados: uno que usaba Ekipa RAT mientras que el otro usaba Aurora Stealer para instalar el malware Rilide haciéndose pasar por una extensión del navegador. Ekipa RAT se propaga a través de archivos de Microsoft Publisher que han sido manipulados, mientras que Aurora Stealer emplea anuncios falsos de Google para distribuirse, una táctica que ha ganado popularidad entre los ciberdelincuentes. Ambas cadenas de ataque permiten ejecutar un cargador basado en Rust. Después de activarse, modifica el archivo de acceso directo LNK del navegador y, al usar la línea de comando "--load-extension", inicia el complemento del navegador.
El Rilide Stealer es capaz de realizar un retiro automático de criptomonedas
Rilide Stealer está equipado con una función de retiro automático de los intercambios de criptomonedas. Mientras esta función opera en segundo plano, el usuario ve un cuadro de diálogo de autenticación de dispositivo falsificado, que imita una función de seguridad legítima de uso común, para obtener el código 2FA (autenticación de dos factores). Este código es una medida de seguridad utilizada para confirmar la identidad del usuario y aprobar la solicitud de retiro.
Además, Rilide tiene la capacidad de reemplazar las confirmaciones de correo electrónico enviadas por el intercambio, que notifican al usuario sobre la solicitud de retiro. Si el usuario ingresa a su cuenta de correo electrónico utilizando el mismo navegador web, estas confirmaciones se reemplazan sobre la marcha. En cambio, la confirmación por correo electrónico de la solicitud de retiro se reemplaza con una solicitud de autorización del dispositivo, engañando al usuario para que proporcione el código de autorización. Como consecuencia, el atacante puede ignorar las medidas de seguridad implementadas por el intercambio y robar fondos de la cuenta del usuario.
Los ciberdelincuentes continúan desarrollando amenazas sofisticadas
El ladrón Rilide es un ejemplo de la creciente sofisticación de las extensiones de navegador maliciosas. Rilide se disfraza como una extensión legítima de Google Drive, pero en realidad es una herramienta utilizada por los actores de amenazas para llevar a cabo una amplia gama de actividades maliciosas. Estas actividades incluyen tomar capturas de pantalla, espiar el historial de navegación de las víctimas e inyectar scripts maliciosos para robar fondos de los intercambios de criptomonedas.
Esté atento y tenga cuidado al tratar con correos electrónicos o mensajes no solicitados. Para mantener bajo el riesgo de ser víctima de ataques de phishing, también es fundamental estar informado y educado sobre las últimas amenazas de ciberseguridad y las mejores prácticas para detenerlas. Al mantenerse actualizados sobre los últimos desarrollos en ciberseguridad, las personas pueden tomar medidas proactivas para proteger su información personal y protegerse contra posibles ataques.
