Die neue Rilide-Malware hat es auf Kryptowährungen von Nutzern Chromium-basierter Browser wie Chrome, Edge, Vivaldi oder Brave abgesehen.
Sicherheitsforscher von Trustwave haben eine neue Malware mit dem Namen “Rilide” entdeckt, die es auf Kryptowährungen von Nutzern Chromium-basierter Webbrowser abgesehen hat. Die Schadsoftware tarnt sich als vermeintliche Google-Drive-Erweiterung, tauscht in Echtzeit Bestätigungsmails aus und verleitet ihre Opfer zur Eingabe korrekter 2FA-Codes.
Neue Malware befällt Chromium-Browser per Erweiterung
Chromium-basierte Webbrowser, zu denen mitunter Microsoft Edge, Vivaldi, Opera und Brave gehören, erfreuen sich großer Beliebtheit unter Anwendern. Sie sind dadurch jedoch ebenso ein favorisiertes Ziel für Cyberkriminelle, die ihren Opfern das Geld aus der Tasche ziehen und sensible Daten stehlen wollen.
So haben Sicherheitsforscher von Trustwave SpiderLabs kürzlich eine neue Malware mit dem Namen Rilide entdeckt, die sich als scheinbar harmlose Erweiterung für Google Chrome und andere auf dem quelloffenen Chromium-Projekt basierende Browser tarnt.
Die Schadsoftware ermögliche Angreifern “die Durchführung eines breiten Spektrums bösartiger Aktivitäten, einschließlich der Überwachung des Browserverlaufs, der Erstellung von Screenshots und der Injektion bösartiger Skripte, um Geld von verschiedenen Kryptowährungsbörsen abzuheben”, so die Forscher.
Rilide kommt als Google-Drive-Erweiterung auf die Systeme ihrer Opfer
Wie die Trustwave-Forscher berichten, tarnt sich Rilide als vermeintliche Google-Drive-Erweiterung. Durch gefälschte Dialoge verleite die Chromium-Malware ihre Opfer zur Eingabe von 2FA-Codes. Das ermögliche es ihr, aktive Zwei-Faktor-Authentifizierungen zu umgehen und Zugriff auf digitale Vermögenswerte zu erlangen.
Die Trustwave-Forscher identifizierten zwei verschiedene Verbreitungskampagnen für die Schadsoftware. In der Ersten nutzten die Angreifer verseuchte Microsoft-Publisher-Dateien, um Ekipa RAT, einen häufig in Untergrundforen verkauften Remote-Access-Trojaner, einzuschleusen und darüber anschließend Rilide auf das System zu laden.
Die zweite Kampagne nutzte gefälschte Google Ads, die auf Phishing-Seiten umleiteten. Dort infizierten die Cyberkriminellen die Systeme der Besucher mit dem Aurora Stealer, einer via Malware-as-a-Service (MaaS) vertriebenen Go-basierten Schadsoftware. Schließlich konnten sie darüber ebenfalls die Rilide-Malware in die Chromium-basierten Browser ihrer Opfer einschleusen.
Raffinierte Rilide-Malware zielt auf Krypto-Wallets in Chromium-basierten Browsern
Damit die bösartige Erweiterung beim Start des Webbrowsers immer aktiv ist, erweitert der zugehörige Loader dessen Verknüpfungsdatei um den Parameter “–load-extension” sowie den Pfad zu Rilide.
Ist die Chromium-Malware aktiv, so greift sie automatisch die Bestände verschiedener Kryptowährungen ab. Dafür tauscht sie sogar in Echtzeit E-Mail-Bestätigungen in einem im gleichen Browser geöffneten Postfach aus. Ebenso verleitet sie den Benutzer zur Eingabe korrekter 2FA-Codes.
Frühe Versionen von Rilide konnten auch Wallet-Adressen in der Zwischenablage des Zielsystems durch fest codierte Adressen des Angreifers austauschen. Somit landeten vom Benutzer transferierte Krypto-Coins direkt in der Wallet des Kriminellen. In neueren Varianten der Malware soll dieses Feature laut Trustwave jedoch verschwunden sein.
Die Forscher betonen in ihrem Bericht, dass die bevorstehende Durchsetzung von Manifest v3 die Arbeit von Cyberkriminellen erschweren könne. Dennoch sei es “unwahrscheinlich, dass sich das Problem dadurch vollständig lösen lasse„. Denn die meisten der von der Chromium-Malware Rilide genutzten Funktionen seien damit weiterhin verfügbar.