As extensões continuam a ser uma das principais formas sobre como utilizadores do Chrome e derivados podem ser afetados por roubo de dados. E recentemente, uma nova campanha foi descoberta que se encontra focada em roubar informação sensível dos utilizadores e das empresas.
A campanha, sob o nome de Rilide Stealer, foi originalmente descoberta pela empresa de segurança Trustwave SpiderLabs, e afeta praticamente todos os navegadores baseados no Chromium, através da exploração por extensões maliciosas.
O Rilide faz-se passar por uma extensão do Google Drive, e caso seja instalada no navegador, passa a monitorizar todas as atividades do mesmo, roubando dados de login nas plataformas web, e também todas as carteiras de criptomoedas que os utilizadores possam usar.
Os investigadores afirmam ainda que, nas recentes versões do malware, as extensões foram mesmo atualizadas para suportarem o mais recente Manifest V3, o que permite contornar algumas das restrições do Chrome para extensões que ainda se encontrem na versão anterior.
Além de ter sido atualizado para o Manifest V3, o malware agora foca-se também em dados bancários, com destaque para os dados de login usados em sites de apps bancárias e similares. Estes dados são recolhidos pela extensão e enviados para sistemas em controlo dos atacantes.
Apesar de o Rilide ter sido identificado primeiro em extensões fazendo-se passar pelo Google Drive, nas últimas semanas foram também descobertas variantes que se fazem passar por outras entidades, sobretudo de plataformas de criptomoedas e entidades bancárias. No entanto, o funcionamento base é idêntico em todas.
O Rilide tem vindo a ganhar bastante popularidade como forma de ataque, em parte porque pode levar ao roubo de dados importantes e sensíveis em grandes quantidade, e porque é relativamente simples de levar as vitimas a instalarem as extensões maliciosas – conjugando ainda com a baixa identificação deste género de extensões como maliciosas em software de segurança.
Nenhum comentário
Seja o primeiro!