Rilide

Rilideはインフォスティーラー型マルウェアです。
どんなものなのでしょうか。

• タイプ
  Rilideはインフォスティーラー型マルウェアですので、情報を抜き取っていきます。
  抜き取る情報は、Google Chrome、Microsoft Edge、Brave、OperaなどのChromiumベースのブラウザの情報です。
• 偽装されたマルウェア
  このマルウェアは偽装された状態で設置されます。
  偽装されるものはブラウザエクステンションです。
  ブラウザエクステンションタイプのものはこれまでもでてきていますが、また追加されたということになります。例1, 例2, 例3, 例4
  RilideはGoogleドライブの拡張機能を装います。
• マルウェアの機能
  閲覧履歴の監視、スクリーンショットの撮影、さまざまな仮想通貨取引所から資金を引き出すための悪意のあるスクリプトの挿入といった機能を有しています。
• 安全機構の削除機能
  Rilideにはいくつかの大きな機能が搭載されています。
  その一つが安全機構の削除機能です。
  Rilideを構成する要素の一つが稼働すると、マルウェアの機能が特定のブラウザ内のイベントにアタッチされます。
  ここでいう特定のイベントとは、tabs.onActivatedとwebRequest.onHeadersReceivedです。
  文字通り、ブラウザのタブが有効になったタイミングとHTTPのヘッダ情報を受信したタイミングに発生するものです。
  このタイミングでマルウェアの機構はリクエストのコンテンツセキュリティポリシーディレクティブを削除します。
  これにより、感染したブラウザはクロスサイトスクリプティングが実行可能な状態となってしまいます。
  この後、マルウェアは外部からリソースを取り込み、環境に設置します。
  クロスサイトスクリプティングに相当する動作ですが、すでにブラウザにこれを防御する機構はありません。
  マルウェアは閲覧履歴を定期的にチェックし、標的のドメインリストと一致するURLを盗み出しますし、現在アクティブなタブのスクリーンショットをオンデマンドでキャプチャして抽出することもできます。
• 暗号資産の自動引き出し
  これもRilideの機能の一つです。
  巧妙にブラウザのなかで情報を操作し、自動引き出しを実現します。
  自動で引き出しが行われることも恐ろしいですが、それを隠す機構も恐ろしいです。
  引き出し機能を使用すると通常は暗号資産機構からの通知がメール形式で来ます。
  このメールも、多くの人はいつも使っているお気に入りのブラウザの中で見ているのではないでしょうか。
  Rilideはブラウザのなかで表示されるメールにも干渉します。
  暗号資産の引き出しが実施されたという通知内容となっているメールがある場合に、それを別の内容のメールであるように変更して表示する機能を有しています。

マルウェアは次から次へと出てきます。
どういったものがあるのか、それらはどういった手口なのか、そういった情報を常に入手することで油断することのないようにし、うっかりを防ぐことができるようにしていきたいです。

参考記事（外部リンク）：Rilide: A New Malicious Browser Extension for Stealing
Cryptocurrencies
www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/rilide-a-new-malicious-browser-extension-for-stealing-cryptocurrencies/