Vol de crypto-monnaies : la 2FA déjouée via un add-on de navigateur piégé

Plusieurs cybergangs utilisent une extension malveillante, baptisée Rilide, pour les navigateurs basés sur Chromium incluant Google Chrome, Microsoft Edge, Brave et Opera. Objectif : voler des actifs en crypto-monnaie à partir de plusieurs sites web et portefeuilles en ligne. Cet add-on fonctionne en injectant un code piégé dans des pages web depuis le navigateur installé sur le poste d'un utilisateur afin de déjouer l'authentification double facteur (2FA) et supprimer les alertes automatisées des messageries électroniques. « Rilide n'est pas le premier logiciel malveillant que SpiderLabs a observé en utilisant des extensions de navigateur malveillantes », ont déclaré les chercheurs de Trustwave SpiderLabs dans un rapport. « Ce qui différencie ce malware, c'est qu'il a une capacité efficace et rarement utilisée de s'appuyer sur de fausses boîtes de dialogue pour tromper les utilisateurs et les amener à révéler leur authentification double facteur, puis à retirer des crypto-monnaies en arrière-plan. Au cours de notre enquête sur les origines de Rilide, nous avons découvert que des extensions de navigateur similaires étaient proposées à la vente. En outre, nous avons découvert qu'une partie de son code source avait récemment été divulguée sur un forum clandestin à la suite d'un litige de paiement ».

Les chercheurs de Trustwave ont identifié d'autres programmes malveillants utilisant Rilide sur des ordinateurs compromis. Il semble donc qu'il soit utilisé comme charge utile secondaire ou comme module de compromission dans le cadre d'attaques plus vastes. Des pirates emploient Ekipa RAT, un cheval de Troie d'accès à distance vendu sur des forums du dark net, et ont été vus en train de déployer l'extension Rilide via un chargeur basé sur Rust. Le malware Ekipa RAT a été distribué sous la forme d'un fichier Microsoft Publisher contenant des macros malveillantes. L'année dernière, Microsoft a commencé à bloquer l'exécution des macros Office dans les fichiers téléchargés depuis le web. Toutefois, Publisher ne faisait pas partie des applications Office concernées par ce changement. Cette erreur a été corrigée en février dernier. Les chercheurs de Trustwave pensent que la distribution de Rilide via Ekipa RAT a été temporaire et qu'elle résulte probablement du fait que les attaquants à l'origine de l'extension ont testé différentes plateformes et options de distribution de logiciels malveillants. En effet, peu de temps après, l'extension a commencé à être distribuée par le biais d'un programme de vol d'informations appelé Aurora.

Camouflé en programme légitime 

Aurora est écrit en Go et est exploité comme une plateforme de logiciels malveillants à la demande (as a service), et poussé sur les forums de cybercriminalité en langue russe. Le malware est capable de voler des données et des identifiants à partir de plusieurs navigateurs web, de portefeuilles de crypto-monnaies et d'autres applications locales. Aurora a récemment été distribué par le biais d'une publicité frauduleuse via la plateforme Google Ads, où il s'est fait passer pour un programme d'installation pour Teamviewer ou le site de téléchargement de micrologiciels pour cartes graphiques Nvidia Drivers. Aurora est un logiciel malveillant modulaire. L'une de ses caractéristiques observées dans les échantillons récents contenait une URL pour télécharger un fichier exécutable à partir d'un serveur distant.

Ce fichier était le même chargeur écrit en Rust vu dans la campagne RAT Ekipa et conçu pour télécharger et déployer l'extension Rilide. Le chargeur basé sur Rust y parvient en modifiant les raccourcis normaux (LNK) des navigateurs ciblés sur le système infecté afin de lancer les navigateurs avec le paramètre « load-extension » pointant vers l'add-on malveillant. En effet, les browsers basés sur Chromium ne prennent pas en charge l'installation d'extensions qui ne sont pas hébergées dans les boutiques d'extensions officielles par défaut, mais il est possible d'y déroger en utilisant ce paramètre spécifique lors de la phase de démarrage.

Retraits furtifs de crypto-monnaies avec contournement 2FA

Une fois chargée par le navigateur, l'extension Rilide se fait passer pour une autre qui paraît légitime pour Google Drive. Cependant, en arrière-plan, elle surveille les onglets actifs à la recherche d'une liste de sites web ciblés, dont plusieurs portefeuilles de crypto-monnaies populaires ainsi que des fournisseurs de messagerie tels que Gmail et Yahoo. Lorsque l'un de ces sites est chargé, l'extension supprime alors les en-tête des règles de sécurité du contenu (CSP) fournies par le site web légitime et injecte son propre code malveillant pour effectuer diverses manipulations de contenu. La suppression de la règle de sécurité du contenu est importante car il s'agit d'un mécanisme que les sites web peuvent utiliser pour indiquer aux navigateurs les scripts qui doivent être autorisés à s'exécuter dans un contexte web. L'un des scripts injectés dans les sites peut prendre des captures d'écran des onglets ouverts et informer un serveur de commande et de contrôle lorsque l'un d'eux correspond à l'un des sites web ciblés. D'autres scripts automatisent la suppression d'actifs en arrière-plan tout en présentant à l'utilisateur une fausse boîte de dialogue pour saisir son code d'authentification à double facteur. Lorsque de telles actions sont effectuées, de nombreux sites web envoient des courriels automatisés contenant des codes que l'utilisateur doit saisir pour autoriser la transaction. L'extension est aussi capable de remplacer ces courriels dans les interfaces web de Gmail, Hotmail ou Yahoo par des courriels qui semblent avoir été envoyés pour autoriser un nouveau dispositif d'accès à un compte, ce qui est également un processus qui utilise le même flux de travail d'authentification à deux facteurs.

Il est probable que les utilisateurs aient déjà été invités à réautoriser leurs navigateurs pour accéder à leurs comptes en recevant des codes 2FA par courrier électronique et en les saisissant à nouveau sur les sites web. Il s'agit d'un processus standard déclenché pour des raisons de sécurité, car les sessions authentifiées expirent et les statuts 2FA enregistrés sont périodiquement réinitialisés. Les pirates ont donc bien compris que les utilisateurs ne se méfieraient pas si on leur demandait de le faire pour autoriser des transferts ou des retraits. Même si cette technique de détournement de l'authentification double facteur est utilisée dans ce cas pour soutenir le vol d'actifs détenus dans des portefeuilles de crypto-monnaies, elle peut facilement être adaptée à tous les autres types de sites web qui utilisent l'authentification multifactorielle basée sur les courriels. C'est une autre raison pour laquelle les organisations devraient choisir des méthodes plus sûres lorsqu'elles déploient l'authentification multifactorielle, même sur des services tiers, comme les applications d'authentification mobile générant des codes sur un terminal à part ou des dispositifs physiques basés sur une clé USB. « La surcharge d'informations peut réduire notre capacité à interpréter les faits avec précision et nous rendre plus vulnérables aux tentatives d'hameçonnage », ont déclaré les chercheurs de Trustwave. « Il est important de rester vigilant et sceptique lorsque l'on reçoit des courriels ou des messages non sollicités, et de ne jamais supposer qu'un contenu sur Internet est sûr, même s'il semble l'être ».