Crypto-Stealing

Sebuah ekstensi browser bernama Rilide ditemukan oleh peneliti keamanan yang menargetkan produk berbasis Chromium seperti Google Chrome, Brave, Opera, dan Microsoft Edge.

Ekstensi berbahaya tersebut dapat memantau aktivitas browser, mengambil tangkapan layar, dan mencuri mata uang kripto melalui skrip yang disuntikkan di halaman web.

Rilide meniru ekstensi Google Drive untuk bersembunyi di depan mata dan menyalahgunakan fungsi bawaan Chrome. Terdapat dua kampanye terpisah yang mendistribusikan Rilide, salah satunya menggunakan Google Ads dan Aurora Stealer, sedangkan yang lain menggunakan Ekipa remote access trojan (RAT) untuk mendistribusikan ekstensi jahat tersebut.

Dua kampanye mendorong Rilide (Trustwave)

Trustwave melaporkan adanya malware yang terkait dengan ekstensi yang dijual di pasar gelap. Sebagian kode malware baru-baru ini bocor di forum bawah tanah karena perselisihan antara penjahat dunia maya terkait pembayaran yang belum terselesaikan.

Malware tersebut disebut Pemuat Rilide, yang merupakan parasit di browser web. Malware ini memodifikasi file pintasan browser web untuk mengotomatiskan eksekusi ekstensi jahat pada sistem yang terinfeksi. Setelah dieksekusi, malware akan mencuri informasi korban terkait mata uang kripto, kredensial akun email, dan lain-lain.

Selain itu, malware juga mengekstraksi riwayat penelusuran dan dapat menangkap tangkapan layar untuk dikirim ke C2. Ekstensi ini juga menonaktifkan fitur keamanan yang dirancang untuk melindungi dari serangan skrip lintas situs (XSS).

Fitur menarik di Rilide adalah sistem 2FA-bypassing, yang menggunakan dialog palsu untuk menipu korban agar memasukkan kode sementara mereka, sehingga dapat melewati autentikasi dua faktor.

Sistem ini diaktifkan saat korban memulai permintaan penarikan mata uang kripto ke layanan pertukaran yang ditargetkan Rilide. Malware memasuki sistem pada saat yang tepat untuk menyuntikkan skrip di latar belakang dan memproses permintaan secara otomatis.

Setelah pengguna memasukkan kode mereka pada dialog palsu, Rilide menggunakannya untuk menyelesaikan proses penarikan ke alamat dompet pelaku ancaman.

Rilide menampilkan kecanggihan ekstensi browser berbahaya yang kini hadir dengan pemantauan langsung dan sistem pencuri uang otomatis.

Meskipun peluncuran Manifest v3 di semua browser berbasis Chromium akan meningkatkan ketahanan terhadap ekstensi jahat, Trustwave menyatakan bahwa hal tersebut tidak akan menghilangkan masalah.

Sumber: Bleeping Computer

Malware pencuri informasi baru ‘OpcJacker’ telah terlihat sejak paruh kedua tahun 2022 sebagai bagian dari kampanye malvertising.

Peneliti Trend Micro, Jaromir Horejsi dan Joseph C. Chen, mengatakan bahwa fungsi utama OpcJacker meliputi keylogging, mengambil screenshot, mencuri data sensitif dari browser, memuat modul tambahan, dan mengganti alamat cryptocurrency di clipboard untuk tujuan pembajakan.

OpcJacker disembunyikan menggunakan crypter ‘Babadeda’ dan menggunakan file konfigurasi untuk mengaktifkan fungsi pengambilan datanya.

File penginstal bertindak sebagai saluran untuk menyebarkan OpcJacker, yang juga mampu mengirimkan muatan tahap selanjutnya seperti NetSupport RAT dan varian komputasi jaringan virtual tersembunyi (hVNC) untuk akses jarak jauh.

File penginstal bertindak sebagai saluran untuk menyebarkan OpcJacker, mampu mengirimkan muatan tahap selanjutnya.

Vektor awal kampanye melibatkan jaringan situs web palsu yang mengiklankan perangkat lunak yang tampak aman dan aplikasi terkait cryptocurrency. Kampanye Februari 2023 secara khusus memilih pengguna di Iran dengan dalih menawarkan layanan VPN.

Temuan itu muncul ketika Securonix mengungkapkan rincian kampanye serangan yang sedang berlangsung ‘TACTICAL#OCTOPUS’, menargetkan entitas AS dengan bujukan bertema pajak untuk menginfeksi mereka dengan backdoor.

Dalam perkembangan terkait, pengguna Italia dan Prancis yang mencari versi retak dari perangkat lunak pemeliharaan PC di YouTube dialihkan ke halaman Blogger yang mendistribusikan dropper NullMixer. NullMixer juga menonjol karena secara bersamaan menjatuhkan berbagai macam malware siap pakai.

Selengkapnya: The Hacker News

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Peretas Menggunakan Ekstensi Browser Rilide untuk Melewati Autentikasi Dua Faktor dan Mencuri Mata Uang Kripto

Malware Crypto-Stealing ‘OpcJacker’ Menargetkan Pengguna dengan Layanan VPN Palsu

Crypto-Stealing

Cookies Settings