• 發布單位:TWCERT/CC
• 更新日期:2023-04-17
• 點閱次數:319

資安廠商 Trustwave SpiderLasb 旗下的研究人員，近期發現一個名為 Rilide 的全新惡意 Google Chrome 瀏覽器擴充套件，會監控瀏覽器的活動、拍攝螢幕畫面，並且在網頁中注入惡意程式碼，以竊取用戶的加密貨幣資產。

研究人員指出，Rilide 詐稱本身是相當好用的 Google Drive 瀏覽器擴充套件，以此吸引用戶下載安裝，但實際上內藏惡意程式碼。

研究人員發現近期共有兩波散布 Rilide 的駭侵攻擊活動；其中一波利用 Google Ads 來推送廣告，並利用 Aurora Stealer 來載入惡意軟體；另一波則使用 Ekipa 遠端存取木馬來推送惡意程式碼。

Rilide 開始執行其惡意程式碼後，就開始監控瀏覽器的一舉一動，包括用戶切換瀏覽頁籤、檢視網頁內容或網頁內容載入，並會與其控制伺服器中的目標網頁清單相互核對。

如果核對結果相符，表示使用者正在瀏覽駭侵者有興趣的網頁，此時該擴充套件就會在網頁中注入惡意程式碼，並竊取用戶的各種機敏資訊，包括加密貨幣相關登入資訊、用戶 EMail 登入資訊等等。

該擴充套件也會在注入惡意軟體竊取機敏資訊時，同時停用「Content Security Policy」，該功能的設計目的是讓瀏覽器阻擋外部資源載入，以避免跨站惡意程式碼攻擊（Cross-site Scripting, XSS）。

Rilide 最特殊的部分，是會攔截用戶輸入的二階段驗證碼；該擴充套件會先顯示假的二階段驗證碼輪入畫面，當用戶輸入正確的二階段驗證碼後，Rilide 再將取得的驗證碼輸入到加密貨幣錢包等網站，以竊取用戶的加密貨幣資產。

建議用戶在下載瀏覽器擴充套件時，務必提高警覺，在安裝前先仔細閱讀用戶評價，如有異常，切勿任意下載安裝。