【針對Chromium產品】瀏覽器擴展程式Rilide　繞過2FA竊加密貨幣

瀏覽器擴展程式經常很多「伏」，所以要用得小心，最好是查清楚是安全的工具方使用。繼早前假 ChatGPT 的擴展程式，又有安全研究人員發現了一種名為 Rilide 的新型惡意瀏覽器擴展程式。它針對如 Google Chrome、Brave、Opera 和 Microsoft Edge 的 Chromium 產品，並以騙取使用者的雙因素認證碼為目的，最終盜走用戶的加密貨幣。

Rilide 惡意軟件的入侵途徑是透過注入網頁 Script，以監控瀏覽器活動，截取屏幕截圖，繼而竊取加密貨幣。Trustwave SpiderLabs 的研究人員發現，Rilide 模仿一般的 Google Drive 擴展程式，藉以隱身於一眾擴展程式。

這間網絡安全公司檢測到兩個獨立傳播 Rilide 的活動，一種是使用 Google Ads 來誘導用家下載資料竊取工具 Aurora Stealer，Aurora 可能假冒為 Team Viewer 或 Nvidia 驅動程式的安裝程式，最終則被用來安裝 Rilide。另一個使用藉由微軟的桌面出版程式 Microsoft Publisher 來散布惡意檔案，如 Ekipa 遠程訪問木馬（RAT）來散播 Rilide。

雖然目前該惡意軟件的來源未明，但 Trustwave 的報告指出，它與出售給網絡罪犯的類似擴展程式，有相似的地方。與此同時，Rilide 原本只在地下論壇兜售，但由於一宗付款糾紛，疑似有買家公開了 Rilide 的原始碼連結，而令黑市出現了更多類似的惡意擴充程式。

Rilide 的加載程式會修改 Web 瀏覽器的捷徑檔案，以自動執行投放於受感染系統上的惡意擴展程式。在執行時，惡意軟件會運行一個 Script 用以附加監視器，該監視器會監視受害者何時切換 tabs、接收 Web 內容，或網頁完成加載。它還會檢查當前站點是否與命令和控制（C2）伺服器提供的目標列表相符合。

如果符合，該擴展程式會加載其他 Script 注入網頁中，以從受害者處竊取與加密貨幣、電子郵件帳戶憑證等相關的資料。

該擴展程式還有禁用內容安全策略（Content Security Policy），它是一種用於防止跨網站指令碼（XSS）攻擊的安全功能，令 Rilide 可以自由加載瀏覽器，而這本來屬於會被堵截的外部資源。該擴展程式還會定期將瀏覽歷史記錄洩露，以及將屏幕截圖發送到 C2。

Rilide 具備繞過 2FA 系統的功能，它利用偽造的對話框，來欺騙受害者輸入他們的臨時代碼。當受害者向 Rilide 所針對的加密貨幣交易所服務，發出加密貨幣提款請求時，系統將會被激活。惡意軟件會自動介入，在後台注入 Script，並自動處理請求。

一旦用戶在虛假對話框中輸入他們的代碼，Rilide 就會用它來完成提款過程，將錢匯到背後操作者的加密貨幣錢包地址。Trustwave 在報告中指，如果用戶使用相同的網絡瀏覽器，輸入電子郵箱，電子郵件確認也會被即時替換。Rilide 展示了越來越複雜的惡意瀏覽器擴展程式，而這些擴展現在更帶有實時監控和自動盜錢系統。

雖然在所有針對 Chromium 的瀏覽器推出的 Manifest v3，將提高對惡意擴展程式的抵抗力，但 Trustwave 的評論指它並不會消除這個問題。

資料來源：https://www.bleepingcomputer.com/news/security/hackers-use-rilide-browser-extension-to-bypass-2fa-steal-crypto/ 及 https://www.ithome.com.tw/news/156292

相關文章：【剪貼板危機】惡意軟件嵌入Telegram　針對中文用戶竊取加密貨幣