Trustwave SpiderLabs descubrió una nueva variedad de malware que denominó Rilide, que apunta a navegadores basados en Chromium como Google Chrome, Microsoft Edge, Brave y Opera.
El malware Rilide se disfraza como una extensión legítima de Google Drive y permite a los actores de amenazas llevar a cabo un amplio espectro de actividades maliciosas, que incluyen monitorear el historial de navegación, tomar capturas de pantalla e inyectar scripts maliciosos para retirar fondos de varios intercambios de criptomonedas.
Rilide no es el primer malware que SpiderLabs ha observado usando extensiones de navegador maliciosas. La diferencia de este malware es que tiene la capacidad efectiva y rara vez utilizada de usar diálogos falsificados para engañar a los usuarios para que revelen su autenticación de dos factores (2FA) y luego retirar las criptomonedas en segundo plano. Durante nuestra investigación sobre los orígenes de Rilide, descubrimos extensiones de navegador similares anunciadas para la venta. Además, descubrimos que parte de su código fuente se filtró recientemente en un foro clandestino debido a una disputa de pago.
Campañas maliciosas que conducen a la extensión Rilide Stealer
SpiderLabs descubrió dos campañas maliciosas que llevaron a la instalación de la extensión Rilide.
Figura 1 . Cadenas de infección que conducen a la ejecución de la extensión Rilide
Campaña 1: Ekipa RAT Instalando Rilide Stealer
Una de las muestras de Rilide identificadas por Trustwave SpiderLabs se distribuyó a través de un archivo malicioso de Microsoft Publisher . Este archivo es parte de Ekipa RAT, un troyano de acceso remoto (RAT), diseñado para ataques dirigidos y que a menudo se vende en foros clandestinos.
Es importante tener en cuenta que Microsoft Publisher no se vio afectado por la decisión de Microsoft de impedir que las macros ejecutaran archivos descargados de Internet. Como resultado, cuando un usuario intentaba abrir un archivo de Publisher, recibía una advertencia pero aún podía habilitar la ejecución de contenido malicioso haciendo clic en el botón 'Habilitar macros'. El 14 de febrero de 2023, Microsoft publicó una actualización que resolvió la falla de seguridad de Publisher. Con la implementación de la característica 'Mark of the Web' en el archivo .pub, los usuarios ahora solo tienen una opción, 'Deshabilitar macros', que debería haber sido el caso todo el tiempo.
Cualquier asociación entre los actores de amenazas detrás de Ekipa RAT y aquellos que usan el ladrón de información Rilide sigue sin estar clara. Sin embargo, es probable que Ekipa RAT haya sido probado como medio de distribución para Rilide, antes de cambiar finalmente al robo de Aurora.
Figura 2 . Macro del editor y procedimiento Document_Open ejecutando Excel Workbook remoto
Se configuraron tres tareas en el servidor C2:
- Descargue la carga útil de hxxps://nch-software[.]info/1/2[.]exe al directorio %temp% como.txt
- Cambiar la extensión del archivo descargado a .exe
- Ejecutar la carga útil.
El archivo 2.exe es un cargador basado en Rust, responsable de instalar la extensión Rilide para navegadores basados en Chromium.
Campaña 2: Aurora Stealer abusando de los anuncios de Google
Aurora es un ladrón basado en Go, que inicialmente se vio anunciado en abril de 2022 como Malware-as-a-Service (MaaS) en foros clandestinos de habla rusa. El malware está diseñado para apuntar a datos de múltiples navegadores web, billeteras de criptomonedas y sistemas locales.
Recientemente, se ha observado que los actores de amenazas detrás de Aurora abusan de la plataforma Google Ads para propagar el malware. Según un informe publicado por Cyble , se han utilizado campañas que imitan a los instaladores legítimos de Team Viewer para implementar Aurora. Según lo informado por @1ZRR4H y @malwrhunterteam , Aurora también se difundió a través de otra campaña que imitaba un instalador de controladores de NVIDIA. Se empaquetó una muestra descargada con Themida, un conocido protector comercial para ejecutables. Utilizamos el servicio UnpacMe para desempaquetar la muestra.
Figura 3 . Campaña de Aurora que imita el instalador de controladores de NVIDIA como se muestra en la publicación de Twitter de 1ZRR4H
Restauración de nombres de funciones
La muestra de Aurora Stealer se despojó de los símbolos de depuración, lo que dificultó el análisis. Dado que los binarios de Go están vinculados estáticamente, lo que significa que todas las bibliotecas necesarias están incluidas en el binario compilado, la cantidad de funciones potenciales para analizar es grande. Sin embargo, los nombres de las funciones originales se pueden restaurar desde la estructura de pclntab, como se describe en la publicación de Dorka Palotay, investigadora sénior de amenazas de CUJOAI . Usando el script go_func.py para Ghidra pudimos restaurar los nombres de las funciones.
Cómo un módulo Aurora descargó Rilide Stealer
Uno de los ocho módulos de captura, configurados en la muestra analizada, contenía una cantidad de datos codificada en base64 que almacenaba la URL para el cargador basado en Rilide Rust. La carga útil, alojada en Discord CDN, se guardó en el directorio %temp% con el nombre de archivo <10 caracteres alfanuméricos>.exe y se ejecutó a través del cmdlet de PowerShell de proceso de inicio.
Figura 4 . Parte de la rutina Aurora Stealer descargando y ejecutando el cargador Rilide
El vínculo común entre dos campañas
Las muestras del cargador basado en Rilide Rust analizadas como parte de la campaña Aurora se empaquetaron con un empaquetador comercial VMProtect. Después de desempaquetar las muestras y analizar las cadenas contenidas en el binario, encontramos varias referencias a las rutas de Windows en el directorio C:\Users\ilide\. El mismo nombre de usuario se observó en el PDB Path de la muestra Rilide obtenida de la campaña Ekipa RAT.
Figura 5 . El mismo nombre de usuario en una ruta que se encuentra en las muestras de cargadores basados en Rilide Rust de ambas campañas.
Extensión Rilide Stealer dirigida a navegadores basados en Chromium
Rilide aprovecha un cargador Rust utilizado para instalar la extensión si se detecta un navegador basado en Chromium. Rilide imita las benignas extensiones de Google Drive y abusa de varias funcionalidades integradas de Chrome. El cargador modifica los archivos de acceso directo de LNK que abren los navegadores específicos, de modo que se ejecutan con el parámetro --load-extension que apunta a la extensión Rilide maliciosa eliminada.
Figura 6 . Extensión Rilide Stealer que imita a Google Drive y mira su manifiesto que revela los permisos configurados
La secuencia de comandos de fondo de Rilide adjunta un agente de escucha a los eventos tabs.onActivated y webRequest.onHeadersReceived y elimina la directiva de Política de seguridad de contenido (CSP) para todas las solicitudes. Esto permite que la extensión realice un ataque XSS y cargue recursos externos que, de lo contrario, serían bloqueados por el CSP. El script de la aplicación agrega otro agente de escucha al evento DOMContentLoaded y recupera una lista de dominios de destino del C2. Si el dominio actual coincide con cualquiera de los objetivos enumerados, los scripts designados se inyectan en la página web.
Figura 7 . Lista de configuración que indica objetivos como servicios de correo electrónico e intercambios de criptomonedas.
Además, la secuencia de comandos en segundo plano realiza comprobaciones periódicas del historial de navegación y extrae las URL que se comparan con la lista de dominios de destino. Además, es capaz de capturar y filtrar capturas de pantalla de las pestañas actualmente activas bajo demanda.
Figura 8 . Flujo de ejecución y funcionalidades de Rilide Stealer
Retiro automático de criptomonedas
Los scripts de intercambio criptográfico de Rilide admiten la función de retiro automático. Si bien la solicitud de retiro se realiza en segundo plano, al usuario se le presenta un cuadro de diálogo de autenticación de dispositivo falsificado para obtener 2FA. Las confirmaciones por correo electrónico también se reemplazan sobre la marcha si el usuario ingresa al buzón utilizando el mismo navegador web. El correo electrónico de solicitud de retiro se reemplaza con una solicitud de autorización del dispositivo que engaña al usuario para que proporcione el código de autorización.
Figura 9 . Solicitudes de retiro reemplazadas por correos electrónicos de autorización de nuevo dispositivo en el buzón de Gmail
Figura 10 . Contenido del correo electrónico original y falsificado. El código de verificación se extrajo del cuerpo del mensaje original.
No encontramos variaciones sustanciales en el código entre las muestras lanzadas por Ekipa RAT y las utilizadas en la campaña Aurora Stealer. Ambas campañas utilizaron un cuentagotas de Rust y las funcionalidades de los complementos del navegador son casi las mismas.
Figura 11 . Diferencias de código entre las muestras del complemento Rilide Stealer, ambas usando el mismo servidor C2
Orígenes del ladrón Rilide
En el curso de nuestra investigación, hemos encontrado varias extensiones robadas a la venta que publicitaban capacidades muy parecidas a las de las muestras de Rilide. Sin embargo, no pudimos vincular definitivamente ninguno de ellos con Rilide. Un hallazgo digno de mención fue un anuncio de venta de botnet de un foro clandestino con fecha de marzo de 2022. Aunque las funcionalidades anunciadas coincidían con las de Rilide, la botnet también incluía funciones adicionales, como un proxy inverso y un clicker de anuncios. En particular, la función de retiro automático de la botnet admitió los mismos intercambios observados en las muestras de Rilide.
Figura 12 . Publicación de un foro clandestino que anuncia la venta de una red de bots con capacidades similares a las de Rilide
El 27 de febrero de 2023, un miembro del mismo foro clandestino publicó un enlace al código fuente de la extensión Rilide, supuestamente debido a una disputa de pago no resuelta. La fuente filtrada se parece mucho a la utilizada en la campaña Aurora Stealer, pero no contenía ninguno de los guiones inyectados observados en la muestra de la campaña.
Figura 13 . Publicación del foro clandestino, fechada el 27 de febrero de 2023, que contiene un enlace a parte del código fuente de la extensión Rilide.
En particular, hay una función implementada que falta en las versiones posteriores: intercambiar direcciones de billetera de criptomonedas en el portapapeles. La lista de direcciones que se reemplazarán está codificada en el código fuente.
Figura 14 . Rutina de secuestro del portapapeles en la muestra analizada de la publicación del foro mencionada anteriormente.
Al girar sobre el dominio de comando y control ashgrrwt[.]click codificado en la muestra, identificamos cargadores de Rilide adicionales que nos llevan al usuario de GitHub gulantin .
Figura 15 . Repositorio de Github que almacena múltiples muestras de extensión y cargador de Rilide
Los repositorios creados por este usuario contienen cargadores para la extensión Rilide, pero no están basados en Rust. La muestra en el repositorio denominada '77' es un cargador de extensiones .NET solo para el navegador Chrome, a diferencia de la versión posterior basada en Rust que funciona para todos los navegadores basados en Chromium. Otros cargadores que se encuentran en los repositorios 19 y 789 se basan en el Instalador avanzado, una herramienta legítima de empaquetado de Windows Installer para instaladores de MSI.
Figura 16 . Rutina de carga de extensiones del cargador .NET personalizado desde el repositorio de gulantin 77
La dirección contenida en la variable de dominio que se supone que almacena el dominio C2 sugiere que esta versión de un cargador aún estaba en desarrollo cuando se envió a GitHub.
Figura 17 . Parte de la configuración de JavaScript en la extensión Rilide alojada en GitHub
Conclusiones:
El ladrón Rilide es un excelente ejemplo de la creciente sofisticación de las extensiones de navegador maliciosas y los peligros que representan. Disfrazado como una extensión legítima de Google Drive, Rilide brinda a los actores de amenazas la capacidad de llevar a cabo una amplia gama de actividades maliciosas, que incluyen monitorear el historial de navegación, hacer capturas de pantalla e inyectar scripts maliciosos para robar fondos de los intercambios de criptomonedas.
Si bien la próxima aplicación del manifiesto v3 puede dificultar la operación de los actores de amenazas, es poco probable que resuelva el problema por completo, ya que la mayoría de las funcionalidades aprovechadas por Rilide seguirán estando disponibles.
La sobrecarga de información puede entorpecer nuestra capacidad de interpretar los hechos con precisión y hacernos más vulnerables a los intentos de phishing. Es importante permanecer atento y escéptico al recibir correos electrónicos o mensajes no solicitados, y nunca asumir que cualquier contenido en Internet es seguro, incluso si lo parece.
En última instancia, es crucial mantenerse informado y educado sobre las últimas amenazas de ciberseguridad y las mejores prácticas para minimizar el riesgo de ser víctima de ataques de phishing.
