Baru-baru ini, muncul virus baru yang terdeteksi secara otomatis mengosongkan akun pertukaran crypto. Ini menjadi ancaman serius bagi para pengguna cryptocurrency. Virus ini diketahui menyebar melalui email dan malware yang diunduh tanpa sepengetahuan pengguna. Para ahli keamanan cyber telah mendorong pengguna untuk lebih berhati-hati dan mengambil tindakan pencegahan yang sesuai.
IndoPulsa.Co.id – Virus baru secara otomatis mengosongkan akun pertukaran crypto
Rilide menyamar sebagai ekstensi Google Drive yang sah dan memungkinkan penjahat dunia maya untuk melakukan berbagai kegiatan termasuk mendapatkan data riwayat penelusuran, mengambil tangkapan layar, dan menarik dana dari berbagai pertukaran cryptocurrency.
Peneliti cybersecurity di Trustwave SpiderLabs telah menemukan jenis malware baru yang disebut Rilide yang menargetkan browser berbasis Chromium seperti Google Chrome, Microsoft Edge, Brave, dan Opera dan mencuri cryptocurrency pengguna.
Virus Rilide berdampak pada pemegang kripto
Rilide berbeda dari strain malware lain yang ditemui SpiderLabs karena menggunakan dialog palsu untuk menipu pengguna agar menyerahkan kode otentikasi dua faktor (2FA) mereka. Hal ini memungkinkan malware untuk menarik cryptocurrency di latar belakang tanpa sepengetahuan pengguna.
Selama penyelidikan asal-usul Rilide, para peneliti menemukan ekstensi browser serupa yang diiklankan untuk dijual dan menemukan bahwa bagian dari kodenya baru-baru ini dirilis di forum bawah tanah karena perselisihan pembayaran.
Para peneliti menemukan dua kampanye berbahaya yang mengarah pada pemasangan ekstensi Rimid. Salah satu kampanye tersebut melibatkan modul yang berisi gumpalan data yang dikodekan yang menyimpan URL untuk loader Rimid.
Payload, yang dihosting di Discord CDN, disimpan ke direktori %temp% dan dieksekusi melalui cmdlet PowerShell proses awal.
Rilide memanfaatkan loader Rust untuk menginstal ekstensi jika browser berbasis Chromium terdeteksi. Loader memodifikasi file pintasan yang membuka browser web yang ditargetkan, sehingga dijalankan dengan parameter –load-extension yang menunjuk ke ekstensi Rilide berbahaya yang dijatuhkan.
Skrip latar belakang malware melampirkan pendengar ke peristiwa tertentu dan menghapus arahan Kebijakan Keamanan Konten (CSP) untuk semua permintaan, memungkinkan ekstensi untuk melakukan serangan dan memuat sumber daya eksternal yang akan diblokir oleh CSP tanpa pendekatan seperti itu.
Skrip pertukaran kripto Rilide mendukung fungsi penarikan. Sementara penarikan diproses di latar belakang, pengguna disajikan dengan dialog otentikasi perangkat palsu untuk mendapatkan kode 2FA mereka. Konfirmasi email diganti dengan cepat jika pengguna memasukkan kotak surat mereka menggunakan browser web yang sama, menipu pengguna agar memberikan kode otorisasi.
Dalam perjalanan penelitian mereka, SpiderLabs menemukan beberapa ekstensi pencuri untuk dijual dengan kemampuan yang mirip dengan Rilide, tetapi mereka tidak dapat secara definitif menghubungkan salah satu dari mereka ke malware. Mereka juga menemukan iklan penjualan botnet dari forum bawah tanah tertanggal Maret 2022, yang mencakup fitur seperti proxy terbalik dan clicker iklan.
Fungsi penarikan otomatis botnet menyerang bursa yang sama yang diamati pada sampel Rimid.
Rilide berfungsi sebagai contoh utama dari pengembangan kecanggihan ekstensi browser berbahaya dan bahaya yang ditimbulkannya. Meskipun penegakan manifest v3 yang akan datang dapat menimbulkan lebih banyak tantangan bagi pelaku ancaman untuk beroperasi, agak tidak mungkin untuk menyelesaikan masalah sepenuhnya, karena sebagian besar fungsi yang dimanfaatkan oleh Rilide masih akan tersedia.
Untuk melindungi dari ancaman semacam itu, penting untuk tetap waspada saat menerima email atau pesan yang tidak diminta, dan untuk tetap mendapat informasi tentang ancaman keamanan siber terbaru dan praktik keselamatan untuk meminimalkan risiko menjadi korban serangan phishing.
Dalam kurun waktu beberapa bulan terakhir, wabah virus baru telah menyebar dengan cepat. Namun, kali ini bukan virus biologis melainkan virus yang berpotensi menyebabkan kerugian finansial. Virus baru ini secara otomatis mengosongkan akun pertukaran crypto. Oleh karena itu, sebaiknya Anda menghindari hal-hal yang tidak pasti dan mengalihkan fokus pada investasi yang lebih aman dan terpercaya seperti di Indopulsa. Dapatkan berbagai macam produk seperti pulsa, paket data, listrik dan lainnya dengan harga yang terjangkau hanya di Indopulsa.co.id.
