Trustwaveは4月4日(米国時間)、「Rilide: A New Malicious Browser Extension for Stealing Cryptocurrencies|Trustwave」において、Webブラウザを標的とするマルウェアを発見したと伝えた。「Rilide」と名付けられたそのマルウェアは、Google Chrome、Microsoft Edge、Brave、OperaなどのChromiumベースのWebブラウザに影響を与える脅威と報告されている。

  • Rilide: A New Malicious Browser Extension for Stealing Cryptocurrencies|Trustwave

    Rilide: A New Malicious Browser Extension for Stealing Cryptocurrencies|Trustwave

Google Driveの正規の拡張機能を装う新種のマルウェアが配布されていることがわかった。Rilideに感染すると閲覧履歴の監視、スクリーンショットの撮影、さまざまな暗号資産取引所から資金を引き出すための悪意のあるスクリプトの注入など、多くの悪意のある活動が脅威者に実行されてしまうという。また、偽造ダイアログを用いてユーザーを欺き、二要素認証(2FA: Two-Factor Authentication)を行わせ、バックグラウンドで暗号資産を引き出すという高度な機能が備わっていることも判明している。

  • Infection Chains Leading to the Execution of the Rilide Extension|Trustwave

    Infection Chains Leading to the Execution of the Rilide Extension|Trustwave

Rilideの正確な起源は不明とされているが、調査によりこのマルウェアによく似た機能を持つインフォスティーラマルウェアがアンダーグラウンドフォーラムで販売されていることがわかった。また、同じアンダーグラウンドフォーラムにてRilideのソースコードの一部が流出していることも確認されている。

Trustwaveは、Rilideスティーラが悪意のあるブラウザ拡張機能の高度化とその危険性を示す典型的な例であると警鐘を鳴らしている。今後予定されているmanifest v3の施行によって脅威者の活動はより困難になると予想されているが、Rilideが活用する機能のほとんどは引き続き利用可能であるため、問題が完全に解決されることはないと述べている。

今後、引き続きフィッシングキャンペーンに注意するとともに、最新のサイバーセキュリティの脅威とベストプラクティスに関する情報を入手して対応していくことが望まれている。