さまざまな サイバーセキュリティの 脅威が絶えず増加しており、確かに危険なマルウェアがあらゆる場所に存在しているように感じられます。今回は、フィッシングから身を守るための役立つガイドを装った PowerPoint プレゼンテーションに侵入しました。このすべての皮肉は強力ですが、最悪の点は、このマルウェアが攻撃者による銀行口座の空っぽ化を支援する可能性があることです。
Bleeping Computer が報じたように、最近話題になっている Chrome ブラウザ拡張機能 Rilide Stealer について話しています。残念なことに、Rilide はサイバー犯罪者に 5,000 ドルで販売されており、さまざまな方法で配布される可能性があるため、脅威アクターが簡単に入手できます。 Chrome 拡張機能は単なる 1 つにすぎませんが、現時点ではこれがマルウェアの主な発生源となっているようです。この拡張機能はすべての Chromium ベースのブラウザーで動作するため、Google Chrome だけでなく、Brave、Microsoft Edge、Opera でも動作します。
このマルウェアが機能するためには、ユーザーはまずこの拡張機能をダウンロードする必要があり、そのためにサイバー犯罪者は人々を騙して詐欺に騙す新しい方法を見つけ続けています。ごく最近では、Rilide が正規の VPN やファイアウォール製品を装ったフィッシングメールで発見されました。これらの電子メールの中でハッカーは、ユーザーがオンラインで遭遇する可能性のあるさまざまな脅威について語り、それらを回避する方法についての「ガイダンス」を提供し、拡張機能が役立つと主張しています。
プレゼンテーションの内容を信じる人は、この拡張機能を Chrome に追加する方法に関するガイドを参照してください。このリンクはマルウェアに直接つながり、そこから拡張機能は攻撃者がログイン資格情報、銀行口座、デジタル ウォレットに保存されている暗号通貨を盗むのを支援する可能性があります。 Rilide はインジェクション スクリプトを使用してこれを実行し、さまざまな暗号ウォレット、決済プロバイダー、銀行、電子メール サービスと連携します。
Rilide は、タイポスクワッティング ドメインを使用して人々を騙すことにも利用しています。これは URL ハイジャックとも呼ばれ、Web サイトのアドレスを誤って入力したユーザーを狙うサイバー犯罪戦術です。たとえば、ユーザーは「Google.com」の代わりに「Gooogle.com」と入力するとします。そのアドレスが脅威アクターによって要求された場合、さまざまな銀行や決済サービス プロバイダーを注意深く偽装する Web サイトが表示されます。アカウントの資格情報を入力すると、アカウントがハイジャックされる可能性があります。
研究者らは、そのようなドメインを 1,500 以上発見しました。それらの一部は、SEO ポイズニングによって人気の検索エンジンで上位にランクされるようになりました。さらに、詐欺師たちは Twitter ( 正確には X) を利用して、 拡張機能を試すように人々を説得しました。
Rilide の最も興味深い点は、Chrome Extension Manifest V3 をバイパスしているように見えることです。この一連の制限は、ユーザーが悪意のある拡張機能をダウンロードするのを防ぐことを目的としていましたが、残念ながら、Rilide はその防御をすり抜けてしまいました。
マルウェアに関する限り、Rilide はかなり怖いです。ハッカーが銀行口座を空にするのに役立つだけでなく、積極的に更新され、脅威アクターに販売されているという事実により、さまざまな角度から攻撃される可能性があります。安全を確保したい場合は、通常の黄金律に従ってください。信頼できないソースからのリンクは決して開かないでください。また、信頼できないと思われる ブラウザ拡張機能 はダウンロードしないでください。
ありがたいことに、Rilide は主に企業ユーザーと仮想通貨所有者を対象としているようですが、それでも不審な拡張機能に注意する必要があります。