Tổng quan về phần mềm độc hại Rilide
Cơ chế lây nhiễm
Phần mềm độc hại Rilide được phân phối chủ yếu thông qua các email lừa đảo chứa liên kết đến thông báo cập nhật trình duyệt giả mạo hoặc các trang web bị xâm phạm, yêu cầu người dùng cài đặt các tiện ích mở rộng trông có vẻ hợp pháp. Khi được cài đặt, tiện ích mở rộng yêu cầu quyền truy cập rộng rãi, cho phép nó theo dõi hoạt động của trình duyệt, chặn việc gửi biểu mẫu và thiết lập sự tồn tại lâu dài.
Khả năng của phần mềm độc hại
- Đánh cắp thông tin đăng nhập: Phần mềm độc hại này có khả năng lấy thông tin đăng nhập từ hơn 300 trang web phổ biến, bao gồm cả cổng ngân hàng, dịch vụ đám mây và ứng dụng doanh nghiệp.
- Tồn tại lâu dài: Rilide tạo ra một dịch vụ nền (background service worker) vẫn hoạt động ngay cả khi trình duyệt được khởi động lại.
- Quyền truy cập: Tệp manifest.json của tiện ích mở rộng tiết lộ các yêu cầu quyền truy cập rộng rãi, bao gồm quyền truy cập vào tab, bộ nhớ, yêu cầu web, cookie và dữ liệu clipboard.
Kỹ thuật làm mờ thông tin
Tác giả phần mềm độc hại đã triển khai các kỹ thuật làm mờ phức tạp để vượt qua các kiểm tra bảo mật của trình duyệt và quy trình xác minh tiện ích mở rộng. Điều này bao gồm việc sử dụng mã hóa base64, thay thế ký tự và các hoạt động XOR để giải mã mã độc.
Cơ chế phân phối
Rilide được phân phối thông qua nhiều chiến dịch khác nhau, bao gồm các trang web lừa đảo và các phiên bản mới hơn được điều chỉnh để hoạt động với Manifest V3 của Chrome. Các phiên bản mới hơn xóa khả năng thực thi logic bên ngoài bằng cách sử dụng executeScript(), eval(), và new Function().
Thách thức trong việc phát hiện
Khả năng lẩn trốn tiên tiến của Rilide khiến việc phát hiện trở nên khó khăn. Nó bao gồm các giai đoạn ngủ để tránh bị phát hiện và khả năng phát hiện các môi trường phân tích bảo mật và thay đổi hành vi tương ứng.
Chiến lược giảm thiểu
Để giảm thiểu Rilide và các mối đe dọa tương tự, các nhóm bảo mật nên:
- Quản lý tiện ích mở rộng một cách thích hợp: Đảm bảo rằng chỉ cài đặt các tiện ích mở rộng đáng tin cậy và thường xuyên xem xét các tiện ích đã cài.
- Bật ghi log PowerShell: Giám sát hoạt động PowerShell để phát hiện các lệnh đáng ngờ.
- Chặn người dùng thực thi các lệnh PowerShell: Hạn chế quyền truy cập của người dùng vào PowerShell để ngăn chặn việc thực thi các tập lệnh không được phép.
- Triển khai bảo mật đa lớp: Sử dụng MFA dựa trên phần cứng (FIDO2) và chứng chỉ khách hàng để ngăn chặn tấn công chiếm quyền phiên làm việc và tái sử dụng mã thông báo.
Tác động trong thế giới thực
Rilide đã được báo cáo lây lan nhanh chóng kể từ khi lần đầu tiên được phát hiện vào đầu tháng Ba, với khoảng 75.000 lần cài đặt trên các trình duyệt Chrome và Edge trên toàn thế giới. Phần mềm độc hại này gây ra một mối đe dọa đáng kể cho các môi trường doanh nghiệp, nơi một tài khoản bị xâm phạm có thể dẫn đến việc di chuyển ngang trong mạng lưới.
Kết luận
Phần mềm độc hại Rilide là một mối đe dọa phức tạp dựa vào khả năng của tiện ích mở rộng trình duyệt để đánh cắp thông tin đăng nhập. Các kỹ thuật lẩn trốn tiên tiến và sự phân phối rộng rãi khiến nó trở thành một mối quan tâm đáng kể cho cả người dùng cá nhân và doanh nghiệp. Việc triển khai các biện pháp bảo mật mạnh mẽ, bao gồm quản lý tiện ích mở rộng và bảo mật đa lớp, là rất quan trọng để giảm thiểu mối đe dọa này.
