Rilide แฝงตัวเป็นส่วนขยายของ Google Drive สามารถบันทึกภาพ
โดยปลอมแปลงเป็นส่วนขยายเพื่อเก็บเกี่ยวข้อมูลที่ละเอียดอ่อนและ Cryptocurrency
Rilide แฝงตัวเป็นส่วนขยายของ Google Drive สามารถการบันทึกภาพของ Browsing History และฝัง Script ที่เป็นอันตรายเพื่อถอนเงินจากการแลกเปลี่ยน Cryptocurrency ต่างๆ นอกจากนี้ มัลแวร์สามารถปลอมแปลงกล่องโต้ตอบ และ หลอกลวงให้ผู้ใช้งานป้อนรหัสยืนยันตัวตนแบบสองขั้นตอนเพื่อถอดถอน Digital Assets Trustwave กล่าวว่ามี Campaign สองตัวที่ต่างกัน ซึ่งเกี่ยวข้องกับ Ekipa RAT และ Aurora Stealer ที่นำไปสู่การติดตั้งส่วนขยายของเบราว์เซอร์ที่เป็นอันตราย
Ekipa RAT แพร่กระจายผ่าน ไฟล์ Microsoft Publisher ที่ติดกับดัก, Google Ads ปลอม ที่เป็นตัวนำส่งของ Aurora Stealer เป็นเทคนิคทั่วไปที่พบได้มากขึ้นในช่วงหลายเดือนที่ผ่านมา การโจมตีทั้งสองแบบช่วยให้ทำ Rust-based Loader ได้ง่ายขึ้น นอกจากนี้ มีการแก้ไข ไฟล์ LNK ของเบราว์เซอร์ และสร้างการใช้คำสั่งของ Load Extension เพื่อปล่อย add-on
หนึ่งในฟีเจอร์โดดเด่นที่มีการนำมาใช้จาก source code ที่หลุดออกมา คือ การสลับที่อยู่ใน Wallet ของ Cryptocurrency ด้วย Hard-Coded ของผู้ที่ทำการควบคุม
คำแนะนำ
- ติดตั้งซอฟต์แวร์ป้องกันไวรัสและมัลแวร์ และทำการ Full-scan เป็นประจำ
- หลีกเลี่ยงลิงก์แปลกปลอม และ ซอฟต์แวร์ละเมิดลิขสิทธิ์
- อัปเดตเว็บเบราว์เซอร์ และ ลบปลั๊กอินที่ไม่จำเป็น
- ตรวจสอบ ชื่อ Email, Link ชื่อ Domain ต้องตรงกับหน่วยงาน
- สังเกตเว็บหน่วยงานต้องมี HTTPS
Ref : https://thehackernews.com/2023/04/new-rilide-malware-targeting-chromium.html