Веб-браузеры на основе Chromium стали жертвой нового вредоносного ПО под названием Rilide. Вредонос маскируется под законное расширение Google Диска и позволяет злоумышленникам выполнять широкий спектр вредоносных действий, включая мониторинг истории просмотров, создание снимков экрана, а главное – внедрение вредоносных скриптов для кражи средств жертвы с различных криптовалютных бирж.
Rilide также может отображать поддельные всплывающие диалоговые окна, чтобы обманом заставить пользователей ввести код двухфакторной аутентификации для стопроцентной кражи цифровых активов.
Компания Trustwave заявляет , что обнаружила две разные кампании с участием Ekipa RAT и Aurora Stealer, которые и сбрасывают загрузчик Rilide, приводящий к установке вредоносного Chromium-расширения.
В то время как Ekipa RAT распространяется через вредоносные файлы Microsoft Publisher, вектором доставки Aurora Stealer стали мошеннические объявления Злоумышленники могут использовать данный сервис для размещения рекламы, ведущей на вредоносные фишинговые сайты, прямо в поисковой выдаче Google или на сторонних сайтах.
Схема пользуется у киберпреступников большим спросом, так как в большинстве случаев специалисты Google не могут однозначно определить, что веб-сайт является вредоносным, и допускают мошеннические объявления к публикации.