اكتشف باحثو الأمن السيبراني نسخة جديدة من البرامج الضارة تسمى ريلايد Rilide تستهدف متصفحات الويب القائمة على كروميوم Chromium لسرقة البيانات الحساسة وسرقة العملات المشفرة.

قال الباحث في مجال الأمان بالشركة المتخصصة Trustwave، باؤل كنابتشيك، في تقرير تمت مشاركته مع موقع The Hacker News: "يظهر برنامج الكود الخبيث مستوى أعلى من التطور من خلال التصميم القابل للتعديل، وتشويش الشفرة، والتكيف مع Chrome Extension Manifest V3، والميزات الإضافية مثل القدرة على نقل البيانات المسروقة إلى قناة تليجرام Telegram أو التقاط لقطات الشاشة بناءً على فترات زمنية محددة."

تم توثيق Rilide لأول مرة من قبل شركة الأمن السيبراني في أبريل 2023، وكشف عن سلسلتي هجوم مختلفتين استخدمتا Ekipa RAT و Aurora Stealer لنشر امتدادات متصفح خادعة قادرة على سرقة البيانات والعملات المشفرة. تم بيعها في منتديات الويب المظلمة بواسطة ممثل يدعى "فريزر" مقابل 5000 دولار.

تم تجهيز البرامج الضارة بمجموعة واسعة من الميزات التي تسمح لها بتعطيل الوظائف الإضافية للمتصفح الأخرى، وحصاد محفوظات الاستعراض وملفات تعريف الارتباط، وجمع بيانات اعتماد تسجيل الدخول، والتقاط لقطات شاشة، وضخ نصوص برمجية ضارة لسحب الأموال من مختلف عمليات تبادل العملات المشفرة.

يتداخل الإصدار المحدث أيضًا مع البرامج الضارة التي تتبعها Trellix تحت اسم CookieGenesis، مع الامتداد الذي يستخدم الآن Chrome Extension Manifest V3، وهو تغيير مثير للجدل لواجهة برمجة التطبيقات (API) قدمته Google والذي يهدف إلى تقليص الوصول الواسع الممنوح للإضافات.

وأوضح كنابتشيك: "مع وضع الأمان في الاعتبار، تتمثل إحدى التحسينات الرئيسية الجديدة في أن الإضافات لا يمكنها تحميل شفرة JavaScript عن بُعد وتنفيذ سلاسل عشوائية". "على وجه التحديد، يجب تضمين كل المنطق في حزمة الامتداد، مما يسمح بعملية مراجعة أكثر موثوقية وفعالية للإضافات المقدمة إلى سوق كروم الإلكتروني."

وقالت Trustwave إن هذا أدى إلى إعادة تشكيل كاملة لقدرات Rilide الأساسية ، مضيفًة أن البرامج الضارة تعتمد على استخدام الأحداث المضمنة لتنفيذ كود JavaScript ضار.

تم العثور على قطعتين من Rilide، لانتحال شخصية تطبيق GlobalProtect من Palo Alto Networks لخداع المستخدمين المطمئنين لتثبيت البرامج الضارة كجزء من ثلاث حملات مختلفة. تم تصميم مجموعة واحدة من الهجمات لاستهداف المستخدمين في أستراليا والمملكة المتحدة.

يُشتبه في أن الجهات الفاعلة في التهديد تستخدم صفحات هبوط مزيفة تستضيف برنامج AnyDesk البعيد لسطح المكتب وتستخدم تكتيكات التصيد لتوجيه الأهداف المحتملة لتثبيت التطبيق، وبالتالي الاستفادة من الوصول عن بُعد لنشر البرامج الضارة.

يتضمن التحديث المهم الآخر لطريقة التشغيل استخدام مُحمل PowerShell لتعديل ملف التفضيلات الآمنة للمتصفح - والذي يحافظ على حالة تجربة التصفح الشخصية للمستخدم - لتشغيل التطبيق بالامتداد الذي تم تحميله بشكل دائم.

يُظهر تحليل إضافي لنطاق القيادة والتحكم (C2) استنادًا إلى معلومات المسجل وجود اتصال بمجموعة أكبر من مواقع الويب، وقد لوحظ أن العديد منها يقدم برامج ضارة مثل Bumblebee و IcedID و Phorpiex.

تجدر الإشارة إلى أن كود المصدر لامتداد Rilide تم تسريبه في فبراير 2023، مما يفتح الباب لاحتمال أن يكون قد تولى مهام التطوير جهات تهديد أخرى غير المؤلف الأصلي.

المصدر: The Hacker News