Numerosos grupos cibercriminosos utilizam este método para roubar moedas criptográficas de vários websites e carteiras virtuais.
Por Lucian Constantin com João Miguel Mesquita
Múltiplos grupos cibercriminosos estão a utilizar uma extensão de navegador maliciosa (Rilide) para navegadores populares como o Google Chrome, Microsoft Edge, Brave e Opera. O seu objetivo é roubar ativos de moeda criptográfica em vários websites e carteiras digitais. A extensão funciona injetando código localmente para contornar modelos de autenticação de dois fatores (2FA) e remover alertas automáticos das caixas de entrada de correio eletrónico. “O Rilide não é o primeiro malware que detetámos que utiliza este tipo de extensão maliciosa”, disseram os investigadores da SpiderLabs num relatório. “A diferença com este é que tem a capacidade eficaz e raramente experimentada de utilizar diálogos forjados para enganar os utilizadores a revelarem a sua autenticação para mais tarde retirarem as moedas criptográficas.
Rilide distribuído por outro malware
Os investigadores da Trustwave viram outros malwares implantando Rilide em computadores comprometidos, pelo que parece ser utilizado como uma carga útil secundária ou como um módulo como parte de ataques maiores. Numa campanha, cibercriminosos usando Ekipa RAT, um Trojan de acesso remoto vendido em fóruns subterrâneos, foram vistos a implantar a extensão de Rilide através de um carregador baseado em Rust-based loader. O malware do Ekipa RAT foi distribuído como um ficheiro da Microsoft Publisher com macros maliciosas. No ano passado, a Microsoft começou a bloquear a execução de macros do Office dentro de ficheiros descarregados da Internet, ficheiros marcados pelo Windows com a Marca Web. Contudo, o Publisher não foi uma das aplicações do Office que recebeu esta alteração. Esta situação foi corrigida em fevereiro deste ano.
Estes analistas acreditam que a distribuição de Rilide via Ekipa RAT foi temporária e provavelmente o resultado dos cibercriminosos por detrás da extensão testando diferentes plataformas e opções de distribuição de malware. Isto porque, pouco tempo depois, a extensão começou a ser distribuída através de um programa de roubo de informação chamado Aurora.
O Aurora foi escrito em Go e funciona como uma plataforma de malware como serviço que se anuncia em fóruns de cibercrime em língua russa. É capaz de roubar dados e credenciais de múltiplos navegadores web, carteiras de moeda criptográfica e outras aplicações locais. O Aurora foi recentemente distribuído através de anúncios não autorizados através da plataforma Google Ads, onde se apresentou como um Teamviewer ou instalador de NVIDIA Drivers.
O Aurora é um malware modular. Um dos módulos observados em amostras recentes continha um URL para descarregar um ficheiro executável a partir de um servidor remoto. Este ficheiro foi o mesmo carregador escrito em Rust que foi visto na campanha Ekipa RAT e foi concebido para descarregar e implementar a extensão Rilide.
O carregador baseado em Rust- realiza isto modificando os atalhos normais (LNK) dos navegadores visados no sistema infetado para lançar os navegadores com o parâmetro –load-extension apontando para a extensão maliciosa. Isto porque os browsers baseados no Chromium não suportam a instalação de extensões que não são alojadas nas lojas de extensão oficiais por defeito, mas isto pode ser anulado através da utilização desse parâmetro específico de arranque do browser.
Retiradas furtivas de moeda criptográfica com ‘2FA bypass’.
Uma vez carregada pelo navegador, a extensão Rilide faz-se passar por uma extensão Google Drive. Contudo, em segundo plano, monitoriza separadores ativos para uma lista de websites específicos, incluindo várias trocas de moeda criptográfica populares e fornecedores de correio eletrónico como o Gmail e Yahoo. Quando um destes websites é carregado, a extensão remove os cabeçalhos da Política de Segurança de Conteúdo (CSP) fornecidos pelo website real e injeta o seu próprio código não autorizado no website para realizar várias manipulações de conteúdo. A remoção do CSP é importante porque se trata de um mecanismo que os websites podem utilizar para indicar aos navegadores quais os scripts e de que fontes devem ser executados no contexto do website.
Um dos scripts injetados nos sites web pode tirar screenshots de separadores atualmente abertos e notificar um servidor de comando e controlo quando um dos separadores ativos corresponde a um dos sítios web visados. Outros scripts automatizam a remoção de activos de fundo e apresentam ao utilizador uma caixa de diálogo falsa para introduzir o seu código de autenticação de dois factores.
Quando tais acções são executadas, muitos sites web enviam e-mails automatizados com códigos para que o utilizador volte a entrar no site web para autorizar a transação. A extensão é capaz de substituir estes e-mails nas interfaces web do Gmail, Hotmail ou Yahoo por e-mails que parecem ter sido enviados para autorizar um novo dispositivo de acesso à conta, que é também um processo que utiliza o mesmo fluxo de trabalho 2FA.
É provável que os utilizadores tenham sido previamente solicitados a reautorizar os seus navegadores a aceder às suas contas, recebendo 2 códigos FA através de correio eletrónico e reintroduzindo-os em websites. Este é um processo padrão que é desencadeado por razões de segurança, uma vez que as sessões autenticadas expiram e os estados 2FA guardados são reiniciados periodicamente. Por conseguinte, os atacantes aperceberam-se de que é pouco provável que os utilizadores sejam suspeitos se lhes for pedido que reautorizem os seus browsers, mas seriam suspeitos se lhes for pedido que autorizem transferências ou levantamentos, que é o que acontece na realidade em segundo plano.
Mesmo que esta técnica de sequestro de 2FA seja utilizada neste caso para apoiar o roubo de bens de trocas de moeda criptográfica, pode ser facilmente adaptada para qualquer outro tipo de website que utilize autenticação multifator baseada em email. Esta é outra razão pela qual as organizações devem escolher métodos mais seguros quando implementam o 2FA, mesmo em serviços de terceiros, tais como aplicações de autenticação móvel que geram códigos num dispositivo separado ou dispositivos físicos de autenticação com base em USB.
A sobrecarga de informação pode impedir a nossa capacidade de interpretar os factos com precisão e tornar-nos mais vulneráveis às tentativas de phishing”, disseram os investigadores da Trustwave.