Hacker erbeuten Krypto-Vermögen, indem sie 2FA mit einer Browser-Erweiterung aushebeln

Mehrere Hackergruppen verwenden eine schädliche Browsererweiterung für Chromium-basierte Browser wie Google Chrome, Microsoft Edge, Brave und Opera, die darauf abzielt, Vermögenswerte in Kryptowährungen von mehreren Webseiten und Online-Guthaben zu stehlen. Die Erweiterung funktioniert, indem sie schädlichen Code in Webseiten lokal im Browser einschleust, um die Zwei-Faktor-Authentifizierung zu umgehen und automatische Benachrichtigungen aus Mailboxen zu löschen.

Rilide wird durch andere Malware verbreitet

Die Trustwave-Forscher haben beobachtet, dass andere Malware-Programme Rilide auf kompromittierten Computern einsetzen, so dass es den Anschein hat, dass es als sekundäre Nutzlast oder als Modul im Rahmen größerer Angriffe verwendet wird.

In einer Kampagne wurden Angreifer beobachtet, die Ekipa RAT, einen Remote-Access-Trojaner, der in Untergrundforen verkauft wird, nutzen, um die Rilide-Erweiterung über einen Rust-basierten Loader zu installieren. Die Ekipa RAT-Malware wurde als Microsoft Publisher-Datei mit schädlichen Makros verbreitet. Letztes Jahr hat Microsoft damit begonnen, die Ausführung von Office-Makros in aus dem Internet heruntergeladenen Dateien zu blockieren - Dateien, die von Windows mit dem Mark of the Web gekennzeichnet wurden. Publisher gehörte jedoch nicht zu den Office-Anwendungen, die von dieser Änderung betroffen waren. Dies wurde im Februar dieses Jahres korrigiert.

Aurora ist in Go geschrieben und wird als Malware-as-a-Service-Plattform betrieben, die in russischsprachigen Cybercrime-Foren beworben wird. Die Malware ist in der Lage, Daten und Anmeldeinformationen von mehreren Webbrowsern, Kryptowährungs-Wallets und anderen lokalen Anwendungen zu stehlen. Aurora wurde kürzlich durch betrügerische Werbung über die Google Ads-Plattform verbreitet, wo es sich als Installationsprogramm für Teamviewer oder NVIDIA-Treiber ausgab.

Verdeckte Abhebungen von Kryptowährungen unter Umgehung von 2FA

Sobald die Rilide-Erweiterung vom Browser geladen wird, tarnt sie sich als Erweiterung für Google Drive. Im Hintergrund überwacht sie jedoch die aktiven Registerkarten für eine Liste von Zielwebseiten, zu denen mehrere beliebte Tauschbörsen für Kryptowährungen und E-Mail-Anbieter wie Gmail und Yahoo gehören. Wenn eine dieser Webseiten geladen wird, entfernt die Erweiterung die von der echten Webseite bereitgestellten CSP-Header (Content Security Policy) und fügt ihren eigenen bösartigen Code in die Webseite ein, um verschiedene Content-Manipulationen durchzuführen. Das Entfernen der CSP ist wichtig, da es sich dabei um einen Mechanismus handelt, mit dem Webseiten den Browsern mitteilen können, welche Skripte aus welchen Quellen im Kontext der Webseite ausgeführt werden dürfen.

Eines der Skripte, die in Webseiten eingeschleust werden, kann Screenshots der aktuell geöffneten Tabs machen und einen Command-and-Control-Server benachrichtigen, wenn einer der aktiven Tabs mit einer der anvisierten Webseiten übereinstimmt. Andere Skripte automatisieren den Abzug von Guthaben im Hintergrund, während sie dem Benutzer einen gefälschten Dialog zur Eingabe seines Zwei-Faktor-Authentifizierungscodes präsentieren.

Wenn solche Aktionen ausgeführt werden, senden viele Webseiten automatisierte E-Mails mit Codes, die der Benutzer wieder auf der Webseite eingeben muss, um die Transaktion zu autorisieren. Die Erweiterung ist in der Lage, diese E-Mails in den Webschnittstellen von Google Mail, Hotmail oder Yahoo durch E-Mails zu ersetzen, die den Anschein erwecken, dass sie gesendet wurden, um ein neues Gerät für den Zugriff auf das Konto zu autorisieren, was ebenfalls ein Prozess ist, der denselben 2FA-Workflow verwendet.

Auch wenn diese 2FA-Hijacking-Technik in diesem Fall verwendet wird, um den Diebstahl von Vermögenswerten von Kryptowährungsbörsen zu unterstützen, kann sie leicht für alle anderen Arten von Websites angepasst werden, die eine E-Mail-basierte Multi-Faktor-Authentifizierung verwenden. Dies ist ein weiterer Grund, warum Unternehmen beim Einsatz von 2FA sicherere Methoden wählen sollten, selbst bei Diensten von Drittanbietern, wie z. B. mobile Authentifizierungs-Apps, die Codes auf einem separaten Gerät erzeugen, oder physische USB-basierte Authentifizierungsgeräte.

Die Informationsflut kann unsere Fähigkeit, Fakten richtig zu interpretieren, beeinträchtigen und uns anfälliger für Phishing-Versuche machen. Es ist wichtig, wachsam und skeptisch zu bleiben, wenn man unaufgeforderte E-Mails oder Nachrichten erhält, und niemals davon auszugehen, dass ein Inhalt im Internet sicher ist, auch wenn er es zu sein scheint.