shadowrockets 节点

安全研究人员发现了一款名为Rilide的新型恶意浏览器扩展。 该扩展针对基于Chromium的产品，如谷歌Chrome、Brave、Opera和微软Edge。 该恶意软件的目的是监视浏览活动、捕获屏幕截图，并利用注入网页的脚本窃取加密货币。

一旦Rilide扩展被加载到浏览器中，它就会伪装成Google Drive扩展。 然而，在幕后，它同时监控特定网站的活动标签，其中包括流行的加密货币交易所以及Gmail和雅虎等电子邮件提供商。

一旦识别到目标网站，该扩展就会删除合法网站提供的内容安全策略标题，并引入自己的恶意代码来执行内容操作。

这一点非常重要，因为网站利用CSP通知浏览器允许在网站上执行哪些脚本。

Rilide扩展向网站注入各种脚本，其中一些脚本可以截取活动标签页，并在目标网站打开时向命令控制服务器发出警报。 此外，其他脚本设计用于自动提取资产，同时显示一个虚假对话框，提示用户输入双因素验证码。

执行操作后，许多网站会向用户发送包含代码的自动电子邮件，以验证交易。 Rilide扩展可以在Gmail、Hotmail或Yahoo网络接口中修改这些电子邮件，使其看起来像是为授权新设备访问账户而发送的电子邮件，这也是一个采用相同2FA工作流程的过程。

在访问他们的账户时，用户可能会被提示通过输入通过电子邮件收到的2FA代码来重新授权他们的浏览器。 这是一种常见的安全措施，通过过期验证会话触发，并定期重置已保存的2FA状态。

这种技术被用于窃取加密货币交易所的资产，但也可用于其他使用基于电子邮件的多因素身份验证的网站。 因此，即使在第三方服务上部署2FA时，企业也应考虑使用更安全的方法，如移动验证器应用程序或基于USB的物理验证设备。