Robo de criptomonedas: 2FA frustrado a través de un complemento de navegador con trampa explosiva

hace 11 meses

Une campagne malveillante Aurora imitant le programme d

El malware Rilide engaña a las víctimas para que revelen su autenticación de dos factores para retirar silenciosamente monedas virtuales a través de una extensión maliciosa del navegador web.

Varias pandillas cibernéticas usan una extensión maliciosa, denominada Rilide, para navegadores basados ​​en Chromium, incluidos Google Chrome, Microsoft Edge, Brave y Opera. Objetivo: robar activos de criptomonedas de múltiples sitios web y billeteras en línea. Este complemento funciona mediante la inyección de un código trampa en las páginas web desde el navegador instalado en la estación de trabajo de un usuario para frustrar la autenticación de dos factores (2FA) y suprimir las alertas de correo electrónico automáticas. "Rilide no es el primer malware que SpiderLabs ha observado usando extensiones de navegador maliciosas", dijeron los investigadores de Trustwave SpiderLabs en un informe. "Lo que diferencia a este malware es que tiene una capacidad efectiva y rara vez utilizada de confiar en cuadros de diálogo falsos para engañar a los usuarios para que revelen su autenticación de dos factores y luego retiren criptomonedas en segundo plano. Durante nuestra investigación de los orígenes de Rilide, "Descubrimos que se ofrecían a la venta extensiones de navegador similares. Además, descubrimos que parte de su código fuente se había filtrado recientemente a un foro clandestino luego de una disputa de pago".

Los investigadores de Trustwave han identificado otro malware que usa Rilide en computadoras comprometidas. Por lo tanto, parece usarse como carga útil secundaria o como módulo de compromiso en ataques más grandes. Los piratas informáticos utilizan Ekipa RAT, un troyano de acceso remoto que se vende en los foros de la red oscura, y se les ha visto implementando la extensión Rilide a través de un cargador basado en Rust. El malware Ekipa RAT se distribuyó como un archivo de Microsoft Publisher que contenía macros maliciosas. El año pasado, Microsoft comenzó a bloquear la ejecución de macros de Office en archivos descargados de la web. Sin embargo, Publisher no estaba entre las aplicaciones de Office afectadas por este cambio. Este error fue corregido el pasado mes de febrero. Los investigadores de Trustwave creen que la distribución de Rilide a través de Ekipa RAT fue temporal y probablemente como resultado de que los atacantes detrás de la extensión probaron diferentes plataformas y opciones de distribución de malware. De hecho, poco después, la extensión comenzó a distribuirse a través de un programa de robo de información llamado Aurora.

Índice
  1. Disfrazado como un programa legítimo
  2. Retiros sigilosos de criptomonedas con 2FA Bypass

Disfrazado como un programa legítimo

Aurora está escrito en Go y se opera como una plataforma de malware bajo demanda (como un servicio), y se promociona en foros de ciberdelincuencia en idioma ruso. El malware es capaz de robar datos y credenciales de múltiples navegadores web, billeteras de criptomonedas y otras aplicaciones locales. Aurora se distribuyó recientemente a través de un anuncio fraudulento a través de la plataforma Google Ads, donde se hizo pasar por un instalador de Teamviewer o el sitio de descarga de firmware de tarjetas gráficas Nvidia Drivers. Aurora es un malware modular. Una de sus características vistas en muestras recientes contenía una URL para descargar un archivo ejecutable desde un servidor remoto.

Este archivo era el mismo cargador escrito por Rust que se ve en la campaña RAT Ekipa y está diseñado para descargar e implementar la extensión Rilide. El cargador basado en Rust logra esto modificando los accesos directos normales (LNK) de los navegadores específicos en el sistema infectado para iniciar navegadores con el parámetro "carga-extensión" que apunta al complemento malicioso. De hecho, los navegadores basados ​​en Chromium no admiten la instalación de extensiones que no están alojadas en las tiendas de extensiones oficiales de forma predeterminada, pero es posible anular esto mediante el uso de este parámetro específico en la fase de Inicio.

Retiros sigilosos de criptomonedas con 2FA Bypass

Una vez cargada por el navegador, la extensión Rilide se hace pasar por otra que parece legítima para Google Drive. Sin embargo, en segundo plano, supervisa las pestañas activas en busca de una lista de sitios web específicos, incluidas varias billeteras de criptomonedas populares, así como proveedores de correo electrónico como Gmail y Yahoo. Cuando se carga uno de estos sitios, la extensión elimina los encabezados de las Reglas de seguridad de contenido (CSP) proporcionados por el sitio web legítimo e inyecta su propio código malicioso para realizar diversas manipulaciones de contenido. La eliminación de la regla de seguridad de contenido es importante porque es un mecanismo que los sitios web pueden usar para decirles a los navegadores qué secuencias de comandos deben ejecutarse en un contexto web. Uno de los scripts inyectados en los sitios puede tomar capturas de pantalla de pestañas abiertas y notificar a un servidor de comando y control cuando uno de ellos coincide con uno de los sitios web objetivo. Otros scripts automatizan la eliminación de activos en segundo plano y presentan al usuario un cuadro de diálogo falso para ingresar su código de autenticación de dos factores. Cuando se realizan tales acciones, muchos sitios web envían correos electrónicos automatizados que contienen códigos que el usuario debe ingresar para autorizar la transacción. La extensión también puede reemplazar estos correos electrónicos en las interfaces web de Gmail, Hotmail o Yahoo con correos electrónicos que parecen haber sido enviados para autorizar un nuevo dispositivo para acceder a una cuenta, que también es un proceso que utiliza la misma autenticación de dos factores. flujo de trabajo.

Es probable que a los usuarios ya se les haya pedido que vuelvan a autorizar sus navegadores para acceder a sus cuentas al recibir códigos 2FA por correo electrónico y volver a ingresarlos en los sitios web. Este es un proceso estándar activado por razones de seguridad, ya que las sesiones autenticadas caducan y los estados 2FA guardados se restablecen periódicamente. Por lo tanto, los piratas informáticos han entendido que los usuarios no sospecharían si se les pidiera que lo hicieran para autorizar transferencias o retiros. Aunque esta técnica de secuestro de autenticación de dos factores se usa en este caso para respaldar el robo de activos guardados en billeteras de criptomonedas, se puede adaptar fácilmente a todos los demás tipos de sitios web que usan la autenticación de múltiples factores basada en correo electrónico. Esta es otra razón por la que las organizaciones deben elegir métodos más seguros al implementar la autenticación de múltiples factores, incluso en servicios de terceros, como aplicaciones de autenticación móvil que generan códigos en una terminal separada o dispositivos físicos. basado en una llave USB. "La sobrecarga de información puede reducir nuestra capacidad para interpretar los hechos con precisión y hacernos más vulnerables a los intentos de phishing", dijeron los investigadores de Trustwave. "Es importante mantenerse alerta y escéptico al recibir correos electrónicos o mensajes no solicitados, y nunca asumir que el contenido en Internet es seguro, incluso si lo parece".

Si quieres conocer otros artículos parecidos a Robo de criptomonedas: 2FA frustrado a través de un complemento de navegador con trampa explosiva puedes visitar la categoría Otros.

Otras noticias que te pueden interesar

Subir