Sebuah ekstensi browser bernama Rilide ditemukan oleh peneliti keamanan yang menargetkan produk berbasis Chromium seperti Google Chrome, Brave, Opera, dan Microsoft Edge.
Ekstensi berbahaya tersebut dapat memantau aktivitas browser, mengambil tangkapan layar, dan mencuri mata uang kripto melalui skrip yang disuntikkan di halaman web.
Rilide meniru ekstensi Google Drive untuk bersembunyi di depan mata dan menyalahgunakan fungsi bawaan Chrome. Terdapat dua kampanye terpisah yang mendistribusikan Rilide, salah satunya menggunakan Google Ads dan Aurora Stealer, sedangkan yang lain menggunakan Ekipa remote access trojan (RAT) untuk mendistribusikan ekstensi jahat tersebut.
Trustwave melaporkan adanya malware yang terkait dengan ekstensi yang dijual di pasar gelap. Sebagian kode malware baru-baru ini bocor di forum bawah tanah karena perselisihan antara penjahat dunia maya terkait pembayaran yang belum terselesaikan.
Malware tersebut disebut Pemuat Rilide, yang merupakan parasit di browser web. Malware ini memodifikasi file pintasan browser web untuk mengotomatiskan eksekusi ekstensi jahat pada sistem yang terinfeksi. Setelah dieksekusi, malware akan mencuri informasi korban terkait mata uang kripto, kredensial akun email, dan lain-lain.
Selain itu, malware juga mengekstraksi riwayat penelusuran dan dapat menangkap tangkapan layar untuk dikirim ke C2. Ekstensi ini juga menonaktifkan fitur keamanan yang dirancang untuk melindungi dari serangan skrip lintas situs (XSS).
Fitur menarik di Rilide adalah sistem 2FA-bypassing, yang menggunakan dialog palsu untuk menipu korban agar memasukkan kode sementara mereka, sehingga dapat melewati autentikasi dua faktor.
Sistem ini diaktifkan saat korban memulai permintaan penarikan mata uang kripto ke layanan pertukaran yang ditargetkan Rilide. Malware memasuki sistem pada saat yang tepat untuk menyuntikkan skrip di latar belakang dan memproses permintaan secara otomatis.
Setelah pengguna memasukkan kode mereka pada dialog palsu, Rilide menggunakannya untuk menyelesaikan proses penarikan ke alamat dompet pelaku ancaman.
Rilide menampilkan kecanggihan ekstensi browser berbahaya yang kini hadir dengan pemantauan langsung dan sistem pencuri uang otomatis.
Meskipun peluncuran Manifest v3 di semua browser berbasis Chromium akan meningkatkan ketahanan terhadap ekstensi jahat, Trustwave menyatakan bahwa hal tersebut tidak akan menghilangkan masalah.
Sumber: Bleeping Computer
