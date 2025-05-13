Riide 也称为 LumaC2 和 CookieGenesis，是一种复杂的恶意软件，专门针对基于 Chromium 的浏览器，旨在劫持用户活动并窃取敏感数据。Riide 发现于 2023 年，它利用浏览器扩展程序来实施攻击。Riide 滥用其浏览器扩展组件，向网页注入恶意脚本。除了数据渗漏能力外，它还具备先进的加密货币盗窃功能，能对主流钱包和邮件客户端实施双因素身份验证 (2FA) 操控。
自 2025 年初以来，Trusteer 研究实验室已发现超过 50,000 个受感染的用户会话，可见威胁活动规模之大。由 Trusteer 实验室检测到，Riride 开展了一场持续性的全球活动，攻击范围包括北美、南美、欧洲和日本。
本文我们将探讨 Rilide 如何通过其扩展程序在浏览器中运作，并研究它实施攻击所用的技术，特别是它对金融平台的影响。
Rilide 的能力凸显了威胁形势的转变，即从使用单个页面内 JavaScript 代码的传统网页注入转向浏览器扩展程序。浏览器扩展程序为许多功能的实现提供了便利，如果没有扩展程序，这些功能难以实现。以下分析说明了扩展程序的强大能力，以及现代恶意软件倾向于使用扩展程序的原因。
过去，大多数“浏览器中间人”攻击的执行方式是：恶意软件扫描浏览器内存以识别特定的 HTML 模式，再将 <script> 标记直接注入页面的内存内容中。尽管存在恶意意图，这些脚本仍受浏览器安全机制的约束，例如在沙箱环境中运行、遵守同源策略，并与注入页面的生命周期绑定。
例如，注入的脚本无法访问其他来源的 Cookie 或资源，页面关闭后无法持久化或执行。
相比之下，使用恶意浏览器扩展程序的现代攻击则克服了其中的大部分限制。扩展程序独立于任何特定网页运行，因此可以在后台持久运行。它们还拥有更高的权限，能够绕过同源限制、访问整个浏览器范围内的资源（例如 Cookie 或存储空间），并在没有页面打开时保持活动状态。这些转变使浏览器扩展程序成为攻击者的强大工具，持久性和控制力远超传统 Web 注入方法。
扩展程序还会改变 JavaScript 执行上下文，这对恶意行为而言有其独特的好处。传统的 Web 注入是在与 Web 应用程序代码相同的上下文中运行，包括安全工具。留下任何痕迹（例如脚本元素、网络请求、js 变量等）都可能会使恶意软件被检测到。
现在，除了页面上下文之外，还有两个不同的 JavaScript 环境：
这些上下文之间的所有通信都通过定义的浏览器接口完成，这些接口对页面或开发者不可见。大多数扩展程序行为和痕迹在设计上就是隔离的，如果主文件没有发生变化，就很难被检测到。
除了提供更强的规避检测能力外，开发浏览器扩展程序也非常简单，因为现代浏览器 API 提供了丰富的内置功能和权限。以下分析演示了扩展程序如何简化复杂攻击的开发。
鉴于扩展程序提供的控制力、持久性、规避检测能力更强，开发过程更简单，在基于浏览器的攻击的演变过程中，从传统的“浏览器中间人”技术转向基于扩展程序的攻击不仅可以理解，而且不可避免。
我们将从清单文件开始分析 Rilide，清单文件是概述扩展程序功能和访问级别的关键组件，为理解 Rilide 的破坏能力提供了第一条线索。
其中一个分析的变体呈现为 Google Drive 扩展程序：
然后有一份所需权限列表。其中包括多项关键的浏览器功能，包括但不限于：
在“host_permission”下，允许扩展程序访问并与<all_ urls>交互，即浏览器支持的任何方案、域、路径和端口。
“内容脚本”还设置为在 Document_start 阶段在所有 URL 上运行，这意味着它们会在浏览器开始加载页面时立即执行，不会等待任何内容完全呈现。
Main.js 脚本具有一般的信息窃取能力，而 gmail.js 的目标则是 Gmail 邮件客户端页面。尽管如此，所有脚本都会注入到每个页面中。
在“declarative_net_request”下，扩展程序会配置移除多个内容安全策略 (CSP) 标头的规则。这使得 Riide 能够绕过安全限制，注入内联内容。
在“background”下，配置扩展程序的服务工作线程。恶意软件在这里监测浏览器事件，并与 C2 服务器建立通信。接下来，我们将深入分析后台脚本，以更好地理解恶意软件如何监听浏览器事件并执行其攻击策略。
Background.js 包含初始化代码，配置为在扩展程序安装事件发生时执行。它通过使用 chrome.system 调用获取设备信息，例如 CPU 和存储空间详情，并通过 chrome.mangement 获取已安装扩展程序的数据。唯一 ID 使用 npm uuid 模块（通过 jspm 导入）生成，并保存到本地存储。最后，使用 Chrome.cookies.getAll 并将筛选参数设置为空来获取所有 Cookie。
该数据将发送到 C2 服务器，响应可以启用扩展程序的代理功能。扩展程序初始化期间还可获取注入、命令和恶意软件设置。
初始化的最后环节是启用 CSP 移除规则，之后恶意软件就可以设置和监测浏览器事件了。我们可以再次清楚地看到，相比传统的 Web 注入技术，使用浏览器扩展程序的优势——所有这些信息都可以轻松收集。
以前的 Rilide 版本是将 C2 域名直接硬编码到 JavaScript 文件中。其他变体通过获取指定比特币钱包的交易详情来提取域名。
本文分析的新变体包括旨在从 Telegram 机器人获取域名的代码。使用 Google Chrome 的报警功能，将获取域名的定期调用设置为每分钟运行一次。
这种方法使得恶意软件能够在某个域名被检测到并屏蔽时轻松切换域名。
虽然此变体不包含 Telegram 令牌，但此方法很可能会出现在未来的版本中。
内容脚本使用 chrome.runtime.sendMessage 发送页面的所有输入元素值，消息类型为“new-grabber-info”。
在 background.js 中设置以下监听器，以将数据传递给 C2 服务器。
此外，后台还在等待“set-screenshot-result”消息。
此类消息会触发使用 chrome.tabs.captureVisibleTab 进行屏幕截图。并将数据发送回 C2 服务器。
通过采用这些方法，如果用户登录银行网站，一系列敏感数据就可能被窃取。这包括用户名和密码、账号、PIN 码、信用卡信息、安全问题答案以及收款人信息。
后台脚本的最后一部分是使用“chrome.alarms”设置定期调用命令获取和代理检查。命令警报从 C2 获取命令列表并一一执行。
代理检查警报会检查代理连接状态，并在需要时发起新的代理连接。设置监听器后，后台脚本的同步执行结束。
cmds.js 包含的代码可帮助从 C2 接收命令（来自预定义列表）和参数，并发送回任何结果（如适用）。
一些有趣的命令包括：
其他命令可更改扩展程序配置、获取设备信息、当前 URL 等。这组命令允许动态更改恶意软件的工作流和执行，使其更能够吸引用户交互。这些命令大多利用了 Chrome 内置扩展功能，简化了恶意软件作者的开发工作。
Main.js 内容脚本首先在匿名函数内将 Query 库初始化，该库为完全内联嵌入，无需外部导入。然后是执行恶意功能的混淆代码。
Chromium 扩展程序架构允许通过扩展程序来分离注入职责，使其难以被检测到。服务工作线程在初始化过程中下载并存储注入内容，而内容脚本读取并执行这些内容。页面上下文中没有发送任何 Web 请求，这有助于防止恶意软件被检测到。main.js 遍历获取所有的注入内容，如果当前 URL 与注入 URL 相匹配，则将其注入。
Riide 使用巧妙的方法将脚本注入 DOM。
它创建一个“onreset”文档属性，使用注入作为事件处理程序。然后，立即发送一个自定义的“reset”事件来执行注入，最后再移除属性。
该属性在“setAttribute”调用和“removeAttribute”调用之间的特定时间点设置，让安全工具难以检测到。
最后一个函数调用可设置通用数据窃取器监听器。
使用 jQuery 选择器选中所有输入元素，并设置“change”事件监听器。
每当输入字段的值发生改变并失去焦点（用户点击另一个元素）时，都会发生“change”事件。例如，当受害者登录银行账户时，点击密码字段时就会收集用户名，用户提交表单时就会盗取输入的密码。数据通过 chrome.runtime.sendMessage 发送到服务工作线程，然后再转发到 C2 服务器。
此脚本的目标是用新的设备授权请求替换提现 2FA 授权请求。我们推测，这种方法让客户不会发现未经授权的提现，因为他们更有可能认为新设备授权比提现的可疑程度低。
该脚本首先将 Query 库内联初始化，并检查当前访问地址是否包含“mail.Google”然后再开始执行脚本。注入会定期检查来自主流加密货币钱包的电子邮件，如果检测到相关邮件，就会调用相应的钱包功能。
jQuery 选择器非常简单，使用文本中包含钱包名称的“divs”。
我们将演示特定供应商的自定义注入，尽管所有这些注入的行为都很相似。
该代码会搜索包含“Withdrawal Request”（提现请求）文本的元素，并将其替换为“Authorize New Device”（授权新设备）。
此外，它还会搜索包含文本“withdrawal”（提现）的 <span> 元素，以替换电子邮件预览内容。
注入前：
注入后：
电子邮件正文的查找方式如下：
简而言之，该脚本会查找所有 CSS 类为“ii”且子级“div”元素包含“check address carefully”（仔细核对地址）文本的元素。它还会根据授权代码文本的元素和样式提取授权代码。这种识别元素的方法不是很稳定，因为对样式、文本或结构的微小改动都会造成破坏。
最后，电子邮件的 HTML 内容被硬编码内容覆盖。
原始内容：
新内容：
此机制让威胁参与者可以在不向用户发送任何提现提醒的情况下提取加密货币。
通过扩展程序可以轻松实现的另一个出色功能是代理功能。Rilide 可以将受害者的浏览器转换为 HTTP 代理，在利用受害者的凭据和数据的同时转发所有请求。
这种能力对于金融欺诈尤其危险，因为攻击者可以访问银行门户网站、交易账户和支付平台，而不会触发额外的身份验证检查。他们可以打着合法用户活动的幌子发起交易、修改账户设置或窃取资金，绕过 IP 地址跟踪等传统安全措施。通过有效冒充受害者，攻击者可以利用基于信任的机制无缝进行欺诈。
此功能的实现非常简单，因为它是直接从 CursedChrome 复制的，CursedChrome 是一个演示此类攻击的概念验证的教育项目。
代理通过使用扩展程序服务工作线程与攻击者的 C2 服务器建立 WebSocket 连接来工作。该连接让服务工作线程可以接收攻击者发送的命令。这些命令指导代理的操作，例如发送请求或浏览网站。使用受害者收集的 Cookie 发送请求，并将响应发送回 C2。
CursedChrome 代码示例：
Riide 代码示例：
除了一些命名差异和函数定义位置之外，代码的其他内容都相同。该项目甚至还附带后端代码和管理用户界面 (UI)，使得攻击者更容易得手。
Rilide 充分体现了浏览器扩展程序如何改变了浏览器中间人攻击的威胁态势。通过利用扩展程序的固有功能，攻击者获得了对浏览器前所未有的控制权，进而实现复杂且持久的利用，攻击能力远远超越了传统页面内 Web 注入的限制。这一转变凸显了对警觉性和强大防御能力的需求日益增长，因为基于扩展程序的攻击方法简单且破坏力大，使其成为网络犯罪分子青睐的途径。
为了保护自己，用户应定期检查其安装的浏览器扩展程序，及时删除任何不熟悉或可疑的扩展程序。
此外，还必须监测电子邮件账户是否存在异常活动（例如意外的登录尝试），并密切关注加密货币钱包是否存在未经授权的交易或未知操作。保持积极谨慎有助于降低这种不断演变的攻击范式带来的风险。
