Зловредные ссылки PowerPoint ведут на вредоносную программу для Chrome

Исследователи кибербезопасности из Trustwave Spiderlabs обнаружили обновленную версию печально известного Rilide Stealer. Это вредоносное расширение Google Chrome, способное красть учетные данные пользователей и перехватывать банковские счета и криптовалюты, хранящиеся в надстройках кошелька.

Зловредные ссылки PowerPoint ведут на вредоносную программу для Chrome. Фото: СС0

Расширение работает в браузерах на базе Chromium, включая Chrome, Edge, Brave и Opera. Хотя вредоносные расширения не являются чем-то новым, метод распространения этой конкретной версии оригинален.

Согласно отчету исследователей, злоумышленники распространяли фишинговые электронные письма, выдавая себя за продукты VPN и поставщиков услуг брандмауэра. В их числе, например, приложение GlobalProtect от Palo Alto. В электронных письмах злоумышленники предупреждали получателей о киберугрозах и предлагали рекомендации в виде презентации PowerPoint о том, как установить законное расширение и обеспечить безопасность своих конечных точек. Однако ссылки, представленные в презентации, ведут прямо на вредоносное ПО.

Если жертвы попадутся на уловку и установят Rilide, вредоносное ПО взломает продукты банков, поставщиков платежных услуг, поставщиков услуг электронной почты, платформ обмена криптовалютами, VPN и поставщиков облачных услуг, установленные в системе жертвы, сообщает BleepingComputer.

Новая версия зловреда интересна еще и тем, что успешно обходит Chrome Extension Manifest V3 — недавно введенные Google ограничения расширений, которые должны были защитить пользователей от вредоносных надстроек.

Затем украденные данные эксфильтрируются в канал Telegram или доставляются через скриншоты на заранее определенный сервер C2.

Исследователи точно не знают, кто стоит за этой серией атак, поскольку Rilide — это массовое вредоносное ПО, которое продается на хакерских форумах и, скорее всего, используется в различных кампаниях.

В данном конкретном случае злоумышленники сгенерировали более 1,5 тыс. фишинговых страниц и продвигали их через SEO в доверенных поисковых системах. Они также выдавали себя за банки и поставщиков услуг, чтобы жертвы вводили свои данные для входа.

Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме