Una extensión de navegador permite derrotar a los sistemas de autenticación de doble factor
Numerosos grupos de ciberdelincuentes utilizan este método para robar criptomonedas de distintas páginas web y billeteras virtuales.
Múltiples grupos de ciberdelincuentes están utilizando una extensión de navegador malicioso (Rilide) para otros populares como Google Chrome, Microsoft Edge, Brave y Opera. Su objetivo es robar activos de criptomonedas en diversas páginas web y billeteras digitales. La extensión funciona mediante la inyección de código a nivel local para traspasar los modelos de autenticación de dos factores (2FA) y eliminar las alertas automáticas de los buzones de correo electrónico. “Rilide no es el primer malware que detectamos que utilizan este tipo de extensiones maliciosas”, expresan los investigadores de SpiderLabs en un informe. “La diferencia de este es que tiene la capacidad efectiva y rara vez experimentada de utilizar diálogos falsificados para engañar a los usuarios y que revelen sus autenticaciones para, más adelante retirar criptomonedas”.
Rilide distribuido por otro malware
Los investigadores de Trustwave han visto otros programas de malware que implementan Rilide en computadoras comprometidas, por lo que parece que se está utilizando como una carga útil secundaria o como un módulo como parte de ataques más grandes. En una campaña, los atacantes que usaban Ekipa RAT, un troyano de acceso remoto vendido en foros clandestinos, fueron vistos implementando la extensión Rilide a través de un cargador basado en Rust. El malware Ekipa RAT se distribuyó como un archivo de Microsoft Publisher con macros maliciosas. El año pasado, Microsoft comenzó a bloquear la ejecución de macros de Office dentro de archivos descargados de Internet, archivos marcados por Windows con la Marca de la Web. Sin embargo, Publisher no fue una de las aplicaciones de Office que recibió este cambio. Esto fue corregido en febrero de este año.
Estos analistas creen que la distribución de Rilide a través de Ekipa RAT fue temporal y probablemente el resultado de que los atacantes detrás de la extensión probaran diferentes plataformas y opciones de distribución de malware. Esto se debe a que, poco después, la extensión comenzó a distribuirse a través de un programa de robo de información llamado Aurora.
Aurora está escrita en Go y funciona como una plataforma de malware como servicio que se anuncia en foros de ciberdelincuencia en idioma ruso. Este es capaz de robar datos y credenciales de múltiples navegadores web, billeteras de criptomonedas y otras aplicaciones locales. Aurora se distribuyó recientemente a través de anuncios no autorizados a través de la plataforma Google Ads, donde se hizo pasar por un instalador de Teamviewer o NVIDIA Drivers.
Aurora es un malware modular. Uno de los módulos observados en muestras recientes contenía una URL para descargar un archivo ejecutable desde un servidor remoto. Este archivo era el mismo cargador escrito en Rust que se vio en la campaña RAT de Ekipa y que está diseñado para descargar e implementar la extensión Rilide.
El cargador basado en Rust logra esto modificando los accesos directos normales (LNK) de los navegadores objetivo en el sistema infectado para iniciar los navegadores con el parámetro --load-extension que apunta a la extensión maliciosa. Esto se debe a que los navegadores basados ??en Chromium no admiten la instalación de extensiones que no están alojadas en las tiendas de extensiones oficiales de forma predeterminada, pero esto se puede anular utilizando ese parámetro de inicio de navegador específico.
Retiros sigilosos de criptomonedas con 'bypass 2FA'
Una vez cargada por el navegador, la extensión Rilide se hace pasar por una extensión para Google Drive. Sin embargo, en segundo plano, supervisa las pestañas activas en busca de una lista de sitios web específicos que incluye varios intercambios de criptomonedas populares y proveedores de correo electrónico como Gmail y Yahoo. Cuando se carga uno de estos sitios web, la extensión elimina los encabezados de la Política de seguridad de contenido (CSP) proporcionados por el sitio web real e inyecta su propio código no autorizado en el sitio web para realizar diversas manipulaciones de contenido. La eliminación de CSP es importante porque este es un mecanismo que los sitios web pueden usar para decirles a los navegadores qué secuencias de comandos y desde qué orígenes deben ejecutarse en el contexto del sitio web.
Uno de los scripts inyectados en los sitios web puede tomar capturas de pantalla de las pestañas abiertas actualmente y notificar a un servidor de comando y control cuando una de las pestañas activas coincide con uno de los sitios web objetivo. Otros scripts automatizan la retirada de activos en segundo plano y presentan al usuario un cuadro de diálogo falso para que introduzca su código de autenticación de dos factores.
Cuando se llevan a cabo tales acciones, muchos sitios web envían correos electrónicos automatizados con códigos para que el usuario los ingrese nuevamente en el sitio web para autorizar la transacción. La extensión es capaz de reemplazar estos correos electrónicos en las interfaces web de Gmail, Hotmail o Yahoo con correos electrónicos que parecen haber sido enviados para autorizar un nuevo dispositivo para acceder a la cuenta, que también es un proceso que utiliza el mismo flujo de trabajo 2FA.
Es probable que antes se les haya pedido a los usuarios que vuelvan a autorizar sus navegadores para acceder a sus cuentas al recibir códigos 2FA por correo electrónico y volver a ingresarlos en los sitios web. Este es un proceso estándar que se activa por razones de seguridad, ya que las sesiones autenticadas caducan y los estados 2FA guardados se restablecen periódicamente. Por lo tanto, los atacantes se dieron cuenta de que no es probable que los usuarios sospechen si se les solicita que vuelvan a autorizar sus navegadores, pero sí lo harían si se les solicita que autoricen transferencias o retiros, que en realidad es lo que sucede en segundo plano.
Incluso si esta técnica de secuestro 2FA se usa en este caso para respaldar el robo de activos de los intercambios de criptomonedas, se puede adaptar fácilmente para cualquier otro tipo de sitio web que use autenticación multifactor basada en correo electrónico. Esta es otra razón por la que las organizaciones deben elegir métodos más seguros al implementar 2FA, incluso en servicios de terceros, como aplicaciones de autenticación móvil que generan códigos en un dispositivo separado o dispositivos físicos de autenticación basados ??en USB.
La sobrecarga de información puede entorpecer nuestra capacidad de interpretar los hechos con precisión y hacernos más vulnerables a los intentos de phishing", dijeron los investigadores de Trustwave.
