Skip to content

Rilide มัลแวร์ขโมยคริปโต

  • News

     ในปัจจุบันเว็ปเบราว์เซอร์ถือเป็นสิ่งสำคัญหลักในการใช้ทำกิจกรรมในโลกอินเทอร์เน็ตไม่ว่าจะเป็นการ เข้าถึงเนื้อหาตามเว็บต่างๆ เช่น การค้นหาข้อมูล ดูหนัง ฟังเพลง หรือแม้กระทั่งการเล่นโซเชียล มีเดียต่างๆ บนคอมพิวเตอร์ อีกทั้งยังมีความนิยมเพิ่มขึ้นซึ่งในปัจจุบันมีการพัฒนาและมีการให้เลือกใช้งานกันหลายยี่ห้อ ด้วยการพัฒนานี้เองก็ได้เกิด ส่วนขยาย หรือที่เรียกว่า Extensions เข้ามาเพิ่มประสิทธิภาพและความสามารถต่างๆ ให้กับเบราว์เซอร์ที่เราใช้งานเพื่อตอบโจทย์มากขึ้น
     ถ้าจะพูดถึงการติดตั้งส่วนขยายแล้วนั้นไม่ว่าจะใช้งานได้ดีหรือสะดวกสบายเพียงใด สิ่งที่ควรคำนึงถึงอีกสักนิดก็คือ ความปลอดภัย ซึ่งความปลอดภัยก็ยังเป็นสิ่งที่สำคัญเมื่อเราติดตั้งส่วนขยาย เข้ามาในระบบแล้วก็เปรียบเสมือนให้สิทธิ์ในการเข้าถึงข้อมูลบางส่วนของผู้ใช้งาน ไม่ว่าจะเป็น History, Bookmarks, Cookies หรือสิ่งที่มีการเข้าระบบไว้ในเว็บเบราว์เซอร์
     เมื่อไม่นานมานี้ทางด้านผู้เชี่ยวชาญทางด้านความปลอดภัยกล่าวเตือนภัยให้ระวังการใช้งานเบราว์เซอร์ที่เป็น Chromium Based Engine ซึ่งประกอบด้วย Google Chrome, Brave, Opera และ Microsoft Edge ให้ระวังมัลแวร์ที่เรียกว่า Rilide ซึ่งถูกออกแบบมาให้สามารถสอดส่องกิจกรรมบนเบราว์เซอร์ ถ่ายภาพหน้าจอ ไปถึงการบายพาส 2FA และขโมยข้อมูลคริปโต โดยพบว่าเส้นทางการแพร่มัลแวร์ Rilide นั้นมี 2 รูปแบบ

รูปแบบที่ 1

  • โจมตีผ่านโทรจัน Ekipa remote access trojan (RAT) โดยเหยื่อจะถูกฟิชชิ่งด้วยไฟล์ผ่านอีเมล
  • โทรจันจะควบคุมจากระยะไกลโดยจะติดตั้งส่วนขยาย Rilide เพื่อทำการแก้ไฟล์ของส่วนขยายและทำการฝังสคริปเข้าไป

รูปแบบที่ 2

  • มาจาก Google Ads ของคนที่ทำการฟิชชิ่งเว็บไซต์อันตรายมาล่อเหยื่อให้ติดมัลแวร์ Aurora Stealer
  • ก่อนที่มัลแวร์ Aurora Stealer จะมีการโหลด Rilideเข้ามาติดตั้งโดยใช้ Rust loader

เมื่อสคริปต์ของมัลแวร์คำสั่งทำงาน จะมีการตรวจสอบเนื้อหากิจกรรมต่างๆ บนเบราว์เซอร์ของเหยื่อก็จะถูกเก็บไว้ นอกจากนี้ถ้าเว็บไซต์ที่เหยื่อใช้งานในปัจจุบันอยู่ตรงกับรายการเป้าหมายของเซิร์ฟเวอร์ควบคุม (C2) มัลแวร์ส่วนขยายก็จะโหลดสคริปต์เพิ่มเติมแทรกลงในหน้าเว็บเพื่อขโมยข้อมูลจากเว็บไซต์เป้าหมาย ไม่ว่าจะเป็นเว็บไซต์ที่เกี่ยวกับการเงินทั่วไปหรือเงินดิจิทัล ไปจนถึงบัญชีอีเมล เป็นต้น

       Rilide นั้นสามารถที่จะปิดการใช้งาน Content Security Policy เพื่อข้ามการป้องกัน Cross-site Scripting (XSS) ของ Google Chrome และสามารถโหลดข้อมูลจากภายนอกได้อย่างอิสระ อีกทั้ง Rilide ยังสามารถสอดส่องประวัติและการเข้าชมบนเบราว์เซอร์ ไปจนถึงสามารถจับภาพหน้าจอส่งไปยังเซิร์ฟเวอร์ควบคุมได้ด้วยความน่ากลัวอีกอย่างของ Rilide ก็คือระบบการเจาะ Two-Factor Authentication ที่มันสามารถจะปลอมแปลงกล่องโต้ตอบและหลอกให้เหยื่อป้อนรหัสชั่วคราวเพื่อไป Bypass ระบบป้องกัน Two-Factor Authentication ที่อยู่บนเบราว์เซอร์ได้โดยเมื่อมีการทำธุรกรรมเกี่ยวกับการเงินดิจิทัล มัลแวร์จะแทรกสคริปต์เพื่อให้เหยื่อกรองรหัส Two-Factor Authentication ซึ่งมัลแวร์ Rilide จะใช้รหัสนั้นดำเนินการถอนเงินไปยังที่อยู่กระเป๋าเงินของแฮ๊กเกอร์แทนและในส่วนของการยืนยันการทำธุรกรรมก็จะถูกแทนที่ด้วยข้อความของแฮ๊กเกอร์เช่นเดียวกัน
       จากข้อมูลจะเห็นว่าส่วนขยายก็สามารถขโมยข้อมูลการทำธุรกรรมการเงินและเข้าถึงกิจกรรมการใช้งานต่างๆ ของเหยื่อได้โดยอัตโนมัติ ซึ่งแม้ว่าในปัจจุบันเบราว์เซอร์ที่ใช้ Chromium-based จะมีการใช้งาน Manifest v3 เพื่อจัดการกับส่วนขยายที่ห้ามส่วนขยายแก้ไขหน้าเว็บเพจเองผ่าน Web Request APIที่เป็นอันตรายต่อผู้ใช้งาน แต่ก็แสดงให้เห็นว่ายังไม่สามารถจัดการกับปัญหาดังกล่าวได้ทั้งหมด

คำแนะนำ

  • ควรอัปเดตเบราว์เซอร์ให้เป็นปัจจุบันเพื่อป้องกันช่องโหว่ของเบราว์เซอร์
  • ควรระมัดระวังและตรวจสอบการติดตั้งส่วนขยายให้กับเบราว์เซอร์
  • ไม่ควรเปิดลิงก์หรือไฟล์แนบจากอีเมลที่ไม่น่าเชื่อถือ 4.หลีกเลี่ยงและระมัดระวังการกดดูโฆษณาบนเบราว์เซอร์