We wrześniu 2022 roku eksperci z Trustwave SpiderLabs odkryli Rilide, złośliwe rozszerzenie przeglądarki, które stanowiło potencjalne zagrożenie dla użytkowników przeglądarek opartych na Chromium, takich jak Google Chrome czy Microsoft Edge. Rilide umożliwiał atakującym kradzież ciasteczek sesyjnych, danych formularzy, w tym danych uwierzytelniających, jak też schowka oraz kryptowalut.

Sytuacja uległa zaostrzeniu w lutym 2023, kiedy kod źródłowy Rilide został opublikowany na forum w Dark Webie, co przyczyniło się do jego adopcji przez wielu cyberprzestępców. Zespół SpiderLabs zaobserwował od tego czasu kilka różnych technik dostarczania tego złośliwego oprogramowania, co jeszcze podkreśla potrzebę stałej innowacji w firmowych strategiach bezpieczeństwa.

Groźny nawet PowerPoint  

Z kolei w lipcu 2023 r., eksperci Trustwave zidentyfikowali kampanię phishingową, której celem była bardzo znana firma technologiczna. Przestępcy wykorzystali prezentację PowerPoint, która krok po kroku instruowała, jak zainstalować rozszerzenie Rilide, podszywające się pod wtyczkę Palo Alto Global Protect. Metody socjotechniczne stosowane przez atakujących często wykorzystują pozornie niewinne narzędzia, aby przekonać ofiary do instalacji szkodliwego oprogramowania.

Ta wersja rozszerzenia Rilide nie tylko stanowiła znaczące zagrożenie dla bezpieczeństwa z powodu swojej zdolności do przechwytywania wrażliwych danych, ale również zawierała funkcjonalność serwera proxy HTTP. W połączeniu z panelem sterowania Cursed Chrome na swoim serwerze C2, atakujący mogli wykorzystać przeglądarkę użytkownika, aby uzyskać dostęp do prywatnych zasobów sieciowych. Incydenty tego rodzaju podkreślają krytyczne znaczenie proaktywnych środków bezpieczeństwa oraz białego wywiadu dostarczanych przez zespoły takie jak Trustwave SpiderLabs.

W kolejnym przypadku z marca 2024 r., zespół SpiderLabs wykrył nową kampanię, w której wtyczka Rilide była wymierzona w organizację sektora publicznego w Australii. Atakujący wdrożyli wieloetapowy loader za pośrednictwem mejli phishingowych, który następnie instalował rozszerzenie Rilide. Atak ten został udaremniony za pomocą Trustwave MailMarshal, który skutecznie zidentyfikował i zablokował e-maile phishingowe, zapobiegając potencjalnej infekcji systemu.

Warto dodać, że zespół SpiderLabs Trustwave znajduje się na czele obrony cybernetycznej, ciągle udoskonalając swoje techniki i narzędzia, które pomagają w identyfikacji nowych zagrożeń. Ciekawsze „znaleziska” oraz wyniki analizy próbek publikowane są w formie blogów, artykułów i prezentacji, które przyczyniają się do poprawy świadomości społecznej na temat zagrożeń związanych z cyberbezpieczeństwem (czytaj na SpiderLabs Blog).