Dieses PowerPoint könnte Hackern dabei helfen, Ihr Bankkonto zu leeren

Sora Shimazaki / Pexels

Da verschiedene Cybersicherheitsbedrohungen ständig zunehmen, hat man das Gefühl, dass gefährliche Malware an jeder Ecke lauert. Dieses Mal fand es Eingang in PowerPoint-Präsentationen, die als hilfreiche Anleitungen zum Schutz vor Phishing getarnt waren. Die Ironie des Ganzen ist groß, aber das Schlimmste daran ist, dass diese Malware Angreifern dabei helfen könnte, Ihr Bankkonto zu leeren.

Wir sprechen über die Chrome-Browsererweiterung Rilide Stealer, die in letzter Zeit die Runde gemacht hat, wie Bleeping Computer berichtet. Leider ist Rilide für Bedrohungsakteure leicht zugänglich, da es für 5.000 € an Cyberkriminelle verkauft wird, was bedeutet, dass es auf verschiedene Arten verbreitet werden kann. Chrome-Erweiterungen sind nur eine Sache, obwohl sie derzeit die Hauptquelle der Malware zu sein scheinen. Die Erweiterung funktioniert auf allen Chromium-basierten Browsern, also nicht nur auf Google Chrome, sondern auch auf Brave, Microsoft Edge und Opera.

Damit die Malware funktioniert, müssen Benutzer diese Erweiterung zuerst herunterladen. Zu diesem Zweck finden Cyberkriminelle immer wieder neue Wege, um Menschen dazu zu bringen, auf ihre Betrügereien hereinzufallen. Kürzlich wurde Rilide in Phishing-E-Mails gefunden, die vorgeben, legitime VPN- und Firewall-Produkte zu sein. In diesen E-Mails sprechen die Hacker über verschiedene mögliche Bedrohungen, denen Benutzer online ausgesetzt sein könnten, und geben „Anleitungen“, wie sie diese vermeiden können, und behaupten, dass die Erweiterung hilfreich sein könne.

Diejenigen, die dem Inhalt der Präsentation glauben, werden auf eine Anleitung zum Hinzufügen dieser Erweiterung zu Chrome verwiesen. Die Links führen direkt zu Malware, und von dort aus kann die Erweiterung Angreifern dabei helfen, Anmeldeinformationen, Bankkonten und Kryptowährungen zu stehlen, die in digitalen Geldbörsen gespeichert sind. Rilide verwendet Injektionsskripte, um dies zu erreichen, und es funktioniert mit vielen verschiedenen Krypto-Wallets, Zahlungsanbietern, Banken und E-Mail-Diensten.

Piepender Computer

Rilide setzt auch auf Typosquatting-Domains, um Menschen auszutricksen. Dabei handelt es sich um eine Taktik der Cyberkriminalität, die auch als URL-Hijacking bezeichnet wird und Benutzer ausnutzt, die versehentlich die falsche Website-Adresse eingeben. Beispielsweise könnte der Benutzer „Gooogle.com“ anstelle von „Google.com“ eingeben. Wenn die Adresse von einem Bedrohungsakteur beansprucht wird, wird der Person eine Website angezeigt, die sorgfältig die Identität verschiedener Banken und Zahlungsdienstleister vorgibt. Sobald sie ihre Kontoanmeldeinformationen eingeben, ist es wahrscheinlich, dass das Konto gekapert wird.

Forscher fanden über 1.500 solcher Domains. Einige von ihnen wurden durch SEO-Poisoning dazu gebracht, in beliebten Suchmaschinen einen höheren Rang einzunehmen. Darüber hinaus nutzten die Betrüger auch Twitter – oder besser gesagt X –, um Menschen davon zu überzeugen, die Erweiterung auszuprobieren.

Das Merkwürdigste an Rilide ist, dass es offenbar das Chrome Extension Manifest V3 umgeht. Diese Beschränkungen sollten Benutzer vor dem Herunterladen bösartiger Erweiterungen schützen, aber leider gelang es Rilide, die Abwehrmaßnahmen zu umgehen.

Was Malware betrifft, ist Rilide ziemlich beängstigend. Es kann Hackern nicht nur dabei helfen, Ihr Bankkonto zu leeren, sondern es kann auch aus vielen verschiedenen Blickwinkeln zuschlagen, da es aktiv aktualisiert und an Bedrohungsakteure verkauft wird. Wenn Sie auf Nummer sicher gehen möchten, befolgen Sie die übliche goldene Regel: Öffnen Sie niemals Links von Quellen, denen Sie nicht vertrauen, und laden Sie keine Browsererweiterungen herunter, die nicht vertrauenswürdig erscheinen.

Zum Glück scheint sich Rilide vor allem an Unternehmensanwender und Krypto-Besitzer zu richten, aber Sie sollten trotzdem nach verdächtigen Erweiterungen Ausschau halten.