Rilide改

Rilideはインフォスティーラー型マルウェアです。
今年の4月にも話題に上っていました。
Chromiumベースのブラウザで動作するブラウザエクステンションタイプのものです。
このマルウェアの新しい版が観測されています。

• 入口
  更新されたRilideを使用する攻撃キャンペーンが拡大しています。
  入口はいくつもの手法がありますが、このマルウェアを拡散するフィッシングサイトは1300サイトを超えています。
  銀行、政府サービス、ソフトウェア会社、配送サービス、暗号資産、いろいろなサイトが対象になっています。
• Chrome Extension Manifest V3への対応
  Chromiumベースのブラウザで動作するブラウザエクステンションを作るときに、対応することが必要な仕様があります。
  これがChrome Extension Manifest V3です。
  エクステンションの公開側の話で、2022/1/17以降はmanifest V2で新規公開はできなくなるということもあり、多くのエクステンション開発の現場では対応が大変だったものでしょう。
  しかしV3は、拡張機能の安全性とパフォーマンスの向上を目的とした新しい拡張機能APIとされているため、これをモチベーションに対応が行われたということもあったでしょう。
  Rilideも大きなリファクタリングを経て、V3に対応してきました。
• リモートJavaScriptコードをロードして実行することの禁止への対応
  V3で安全化されたことの一つがこれでした。
  実際V2ではリモートJavaScriptコードをロードして実行することで悪意あるコードを構成していました。
  Rilide改はこの部分に関し、いくつかの公開されている技術を組み合わせて、リモートでホストされているスクリプトの挿入を実現しました。
  仕様変更による安全性の向上に対し、回避で対応したということになりそうです。
• 難読化
  内容の解析を回避するため、Rilide改ではコードの難読化がさらに進められています。
  リストに文字列を用意し、リスト要素への参照の形式をコードの各所で使用し、さらにエンコードとRC4での暗号化も組み合わせて利用するようになっています。
• 機能性の維持
  従来からRilideは、閲覧履歴の監視、スクリーンショットの撮影、さまざまな仮想通貨取引所から資金を引き出すための悪意のあるスクリプトの挿入といった機能を有しています。
  Rilide改は大規模なリファクタリングを行って大きな変化を超えてきていますが、マルウェアとしての機能性は従来の危険性と同等といえそうです。

従来のRilideは2023年4月の時点でウイルス対策ソリューションで対策が講じられました。
今回の大きな変更は、これへの対抗という意味合いがあったものと思われます。

このマルウェアはブラウザエクステンションですが、基本的にChromeストア経由では配布されていません。
フィッシングサイト経由などのなんらかの別の方法で拡散されています。
フィッシングサイトの出来は、サイトの見た目で不自然さを感じることが難しい仕上がりになっています。
この意味では、正規のサイトから入手しよう、という思いだけでは防げない段階にきているのかもしれないと感じます。
本家サイトに見える良くできた野良サイト、怖すぎます。

参考記事（外部リンク）：New Rilide Stealer Version Targets Banking Data and Works Around Google Chrome Manifest V3
www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/new-rilide-stealer-version-targets-banking-data-and-works-around-google-chrome-manifest-v3/