Comment fonctionne Rilide ?
Ce sont les équipes de Trustwave qui ont découvert Rilide. Cette entreprise de cyberdéfense a publié un article de blog, début avril, pour expliquer les résultats d’une enquête sur un malware se faisant passer pour une extension Google Drive. Ce n’est pas la première fois qu’une solution malveillante passe par une extension Chrome corrompue pour infecter des utilisateurs.
⚠️ Chromium Based Crypto Stealer ⚠️
🎯 Targeting Web3 🧵
🥷 Code Named: Rilide 🥷Annonce🔍 High Level Breakdown:
– Browser extension which modifies web pages
– Distributed via Google Ads/RATs
– Captures login credentials & bypasses 2FA
– Injects scripts to auto-process requests 👇 pic.twitter.com/4t4MPnUrdp— Wallet Guard (@wallet_guard) April 7, 2023
Une fois installé, Rilide lance un script qui surveille toutes les actions de l’ordinateur infecté. Si l’utilisateur se rend sur l’un des sites visés par le malware, l’extension lance un script additionnel qui peut voler toutes les informations relatives à un portefeuille crypto, à un compte mail et autres éléments confidentiels.
Un retrait automatique de crypto monnaies
Le but de Rilide est, comme souvent de nos jours, le détournement de portefeuille crypto. La fausse extension de l’écosystème Chromium est donc faite pour voler toutes les informations de connexion et d’identification au wallet de l’utilisateur. Mais ce n’est pas tout. Les équipes de Trustwave ont découvert que le logiciel était équipé d’un script de retrait automatique ! Une manipulation technique camoufle la demande de code de confirmation par mail, rendant l’attaque presque invisible.
La sécurité à deux facteurs contre l’utilisateur
Parce que oui, et c’est le facteur le plus important de ce malware, il utilise la méthode de forged dialogs pour utiliser la sécurité 2FA à son avantage. Cela signifie que Rilide va falsifier des messages d’autorisation de nouvel appareil pour obtenir des codes de retrait. Comme nous le disions précédemment, dès que l’utilisateur ouvre ce faux mail, l’information est automatiquement stockée par le script de capture d’informations du malware.
Bon, ça commence à faire beaucoup de malwares qui en veulent à vos cryptos ! Comme d’habitude, un petit rappel des bonnes procédures pour vous protéger : gardez votre navigateur à jour, ne conservez que les extensions réellement utiles à vos usages et vérifiez à chaque nouvel outil installé la source d’origine. Avec cette pratique, votre appareil sera déjà plutôt protégé !
