Аналітики помітили новий вірус, що викрадає криптовалюту

Експерти з безпеки Trustwave Spiderlabs повідомили, що штами шкідливого ПЗ, відомого як Rilide, націлені на крадіжку активів користувачів криптовалютних бірж.

За даними дослідників Trustwave Spiderlabs, шкідливе ПЗ, відоме як Rilide, маскується під розширення Google Диска і використовує вбудовані функції Chrome. ПЗ перлюструє дії користувачів під час здійснення операцій на криптовалютних біржах і таємно витягує кошти з криптогаманців.

Крім надання кіберзлочинцям можливості відстежувати історію операцій цільових жертв, Rilide дає змогу впроваджувати шкідливі скрипти для крадіжки коштів із бірж криптовалют.

Однією з примітних функцій Rilide є можливість підміни скопійованої адреси криптогаманця жертви з буфера обміну на адресу зловмисника.

«Відмінність цієї шкідливої програми полягає в тому, що вона має ефективну і рідко використовувану здатність використовувати підроблені діалоги, щоб обманом змусити користувачів розкрити їхню двофакторну автентифікацію, а потім вивести криптовалюти у фоновому режимі», — стверджують дослідники Trustwave.

Microsoft Publisher — один із каналів поширення штаму Rilide, ідентифікований Trustwave. Шкідливий файл був частиною Ekipa RAT, троянської програми віддаленого доступу (RAT), розробленої для цільових атак.

Другий варіант поширення штамів Rilide — Aurora Stealer, який був помічений Trustwave ще у квітні 2022 року як Malware-as-a-Service (MaaS). Шкідливе ПЗ призначене для збору даних з декількох веб-браузерів, криптовалютних гаманців і локальних систем.

Нещодавно зловмисники, що стоять за Aurora, були помічені в поширенні шкідливого ПЗ з використанням платформи Google Ads. Зокрема, для розгортання Aurora використовувалися кампанії, що імітують дистрибутиви Team Viewer.

Також було виявлено, що Aurora поширювалася через фейк, який імітував сайт драйверів NVIDIA. При цьому, завантажений зразок був упакований Themida, відомим комерційним захисником виконуваних файлів.

Експерти Trustwave попереджають власників криптоактивів, що необхідно проявляти «пильність і здоровий скептицизм» щоразу, коли події розвиваються за нетрадиційним сценарієм або вони отримують небажані електронні листи. Також, користувачі повинні пам’ятати, що «будь-який контент в Інтернеті небезпечний, навіть якщо він не здається таким».