按 Enter 到主內容區
:::

TWCERT/CC台灣電腦網路危機處理暨協調中心|企業資安通報協處|資安情資分享|漏洞通報|資安聯盟|資安電子報

:::

駭侵者利用 Rilide 瀏覽器擴充套件跳過二階段登入驗證並竊取用戶加密貨幣

發布日期:
字型大小:
  • 發布單位:TWCERT/CC
  • 更新日期:2023-04-11
  • 點閱次數:6196
駭侵者利用 Rilide 瀏覽器擴充套件跳過二階段登入驗證並竊取用戶加密貨幣 twcertcc

資安廠商 Trustwave SpiderLasb 旗下的研究人員,近期發現一個名為 Rilide 的全新惡意 Google Chrome 瀏覽器擴充套件,會監控瀏覽器的活動、拍攝螢幕畫面,並且在網頁中注入惡意程式碼,以竊取用戶的加密貨幣資產。

研究人員指出,Rilide 詐稱本身是相當好用的 Google Drive 瀏覽器擴充套件,以此吸引用戶下載安裝,但實際上內藏惡意程式碼。

研究人員發現近期共有兩波散布 Rilide 的駭侵攻擊活動;其中一波利用 Google Ads 來推送廣告,並利用 Aurora Stealer 來載入惡意軟體;另一波則使用 Ekipa 遠端存取木馬來推送惡意程式碼。

Rilide 開始執行其惡意程式碼後,就開始監控瀏覽器的一舉一動,包括用戶切換瀏覽頁籤、檢視網頁內容或網頁內容載入,並會與其控制伺服器中的目標網頁清單相互核對。

如果核對結果相符,表示使用者正在瀏覽駭侵者有興趣的網頁,此時該擴充套件就會在網頁中注入惡意程式碼,並竊取用戶的各種機敏資訊,包括加密貨幣相關登入資訊、用戶 EMail 登入資訊等等。

該擴充套件也會在注入惡意軟體竊取機敏資訊時,同時停用「Content Security Policy」,該功能的設計目的是讓瀏覽器阻擋外部資源載入,以避免跨站惡意程式碼攻擊(Cross-site Scripting, XSS)。

Rilide 最特殊的部分,是會攔截用戶輸入的二階段驗證碼;該擴充套件會先顯示假的二階段驗證碼輪入畫面,當用戶輸入正確的二階段驗證碼後,Rilide 再將取得的驗證碼輸入到加密貨幣錢包等網站,以竊取用戶的加密貨幣資產。

建議用戶在下載瀏覽器擴充套件時,務必提高警覺,在安裝前先仔細閱讀用戶評價,如有異常,切勿任意下載安裝。

回頁首