Trustwave Spiderlabs: Новые штаммы вредоносного ПО крадут криптоактивы с бирж

По данным исследователей Trustwave Spiderlabs, вредоносное ПО, известное как Rilide, маскируется под расширение Google Диска и использует встроенные функции Chrome. ПО перлюстрирует действия пользователей при совершении операций на криптовалютных биржах и тайно извлекает средства из криптокошельков.

Помимо предоставления киберпреступникам возможности отслеживать историю операций целевых жертв, Rilide позволяет внедрять вредоносные скрипты для кражи средств с бирж криптовалют. Например, изменяет файлы ярлыков LNK, открывающие целевые браузеры, чтобы они выполнялись с параметром «-load-extension», для запуска вредоносной надстройки.

Одной из примечательных функций Rilide является возможность подмены скопированного адреса криптокошелька жертвы из буфера обмена на адрес злоумышленника.

«Отличие этой вредоносной программы заключается в том, что она обладает эффективной и редко используемой способностью использовать поддельные диалоги, чтобы обманом заставить пользователей раскрыть их двухфакторную аутентификацию, а затем вывести криптовалюты в фоновом режиме», — утверждают исследователи Trustwave.

Microsoft Publisher — один из каналов распространения штамма Rilide, идентифицированный Trustwave. Вредоносный файл был частью Ekipa RAT, троянской программы удаленного доступа (RAT), разработанной для целевых атак.

Второй вариант распространения штаммов Rilide — Aurora Stealer, который был замечен Trustwave еще в апреле 2022 года как Malware-as-a-Service (MaaS). Вредонос предназначен для сбора данных из нескольких веб-браузеров, криптовалютных кошельков и локальных систем.

Недавно злоумышленники, стоящие за Aurora, были замечены в распространения вредоносного ПО с использованием платформы Google Ads. В том числе, для развертывания Aurora использовались кампании, имитирующие законные установщики Team Viewer.

Также было обнаружено, что Aurora распространялась через кампанию, которая имитировала установщик драйверов NVIDIA. При этом, загруженный образец был упакован Themida, известным коммерческим защитником исполняемых файлов.

Эксперты Trustwave предупреждают владельцев криптоактивов, что необходимо проявлять «бдительность и здоровый скептицизм» каждый раз, когда события развиваются по нетрадиционному сценарию или они получают нежелательные электронные письма. Также, пользователи должны помнить, что «любой контент в Интернете небезопасен, даже если он кажется таковым».

Ранее разработчик приложений сети Биткоина под псевдонимом 0xB10C сообщил, что конфиденциальность персональных данных владельцев BTC-кошельков находится под угрозой. По его данным, некое сообщество под названием LinkingLion, собирает данные о владельцах биткоинов и их операциях.