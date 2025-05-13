Rilide, juga dikenal sebagai LumaC2 dan CookieGenesis, adalah malware canggih yang menargetkan browser berbasis Chromium untuk membajak aktivitas pengguna dan mencuri data sensitif. Ditemukan pada tahun 2023, Rilide beroperasi dengan memanfaatkan ekstensi browser untuk melakukan serangannya. Rilide menyalahgunakan komponen ekstensi browsernya untuk memasukkan skrip berbahaya ke halaman web. Selain kemampuan eksfiltrasi data, malware ini juga dilengkapi kemampuan pencurian mata uang kripto canggih, dengan manipulasi autentikasi dua faktor (2FA) untuk dompet populer dan klien email.
Sejak awal 2025, laboratorium riset Trusteer telah melihat lebih dari 50.000 sesi pengguna yang terinfeksi, yang menunjukkan skala aktivitas ancaman. Rilide sedang menjalankan kampanye di seluruh dunia dan terdeteksi oleh laboratorium Trusteer sedang menyerang Amerika Utara, Amerika Selatan, Eropa, dan Jepang.
Dalam posting ini, kita akan menjelajahi bagaimana Rilide beroperasi di dalam browser melalui ekstensinya dan memeriksa teknik yang digunakannya untuk melakukan serangan, terutama dampaknya pada platform keuangan.
Kemampuan Rilide menyoroti pergeseran lingkungan ancaman dari injeksi web tradisional menggunakan kode JavaScript di halaman tunggal ke ekstensi browser. Ekstensi browser memfasilitasi banyak fungsi yang cukup sulit untuk dijalankan tanpa ekstensi browser. Analisis berikut menunjukkan seberapa kuat ekstensi dan mengapa malware modern cenderung menggunakannya.
Di masa lalu, sebagian besar serangan "man-in-the-browser" dieksekusi dengan pemindaian memori browser oleh malware untuk mengidentifikasi pola HTML tertentu dan menginjeksikan tag <script> langsung ke konten dalam memori halaman. Terlepas dari niat jahat, skrip ini masih tunduk pada mekanisme keamanan browser, seperti beroperasi dalam lingkungan sandbox, mematuhi kebijakan origin (asal) yang sama, dan terikat dengan siklus hidup halaman tempat mereka diinjeksikan.
Misalnya, skrip yang diinjeksikan tidak dapat mengakses cookie atau sumber daya dari origin lain, juga tidak dapat bertahan atau dieksekusi setelah halaman ditutup.
Sebaliknya, serangan modern menggunakan ekstensi browser berbahaya mengatasi sebagian besar keterbatasan ini. Ekstensi beroperasi secara independen dari halaman web tertentu, sehingga dapat berjalan terus-menerus di latar belakang. Ekstensi juga memiliki hak istimewa yang ditingkatkan, sehingga dapat melewati batasan origin yang sama, mengakses sumber daya di seluruh browser seperti cookie atau penyimpanan, dan tetap aktif bahkan ketika tidak ada halaman yang terbuka. Pergeseran ini telah membuat ekstensi browser menjadi alat yang ampuh bagi penyerang, memberikan tingkat persistensi dan kontrol jauh melampaui metode injeksi web tradisional.
Ekstensi juga membawa perubahan dalam konteks eksekusi JavaScript, yang memiliki kegunaan berbahaya sendiri. Injeksi web tradisional dijalankan dalam konteks yang sama dengan kode aplikasi web, termasuk alat keamanan. Setiap bukti yang tertinggal (seperti elemen skrip, permintaan jaringan, variabel js, dll.) dapat membuat malware bisa dideteksi.
Sekarang, ada dua lingkungan JavaScript yang berbeda selain konteks halaman:
Semua komunikasi antara konteks tersebut terjadi melalui antarmuka browser yang ditentukan yang tidak terlihat oleh halaman atau pengembangnya. Sebagian besar perilaku dan bukti ekstensi didesain terisolasi, dan deteksi sangat sulit jika tidak ada perubahan pada dokumen utama.
Selain menawarkan penghindaran yang lebih canggih, pengembangan ekstensi browser juga mudah, berkat fungsionalitas bawaan yang luas dan izin yang disediakan oleh API browser modern. Analisis berikut menunjukkan bagaimana ekstensi mempermudah pengembangan serangan kompleks.
Dengan peningkatan kontrol, persistensi, kemampuan penghindaran, dan kemudahan pengembangan yang disediakan ekstensi, pergeseran dari teknik "man-in-the-browser" tradisional ke serangan berbasis ekstensi tidak hanya dapat dimengerti, tetapi tidak dapat dihindari, dalam evolusi ancaman berbasis browser.
Kami akan memulai analisis kami tentang Rilide dengan file manifes—komponen penting yang menguraikan fungsionalitas ekstensi dan tingkat akses, yang memberikan petunjuk pertama untuk memahami kemampuan berbahaya Rilide.
Salah satu varian yang dianalisis menampilkan dirinya sebagai ekstensi Google Drive:
Selanjutnya, ada daftar izin yang diperlukan. Daftar ini berisi beberapa fungsi browser penting, termasuk, tetapi tidak terbatas pada:
Di bagian “host_permission”, ekstensi diizinkan untuk mengakses dan berinteraksi dengan <all_ urls>, yang berarti skema, domain, jalur, dan port apa pun yang didukung oleh browser.
“Content scripts” juga diatur untuk berjalan di semua URL di document_start, artinya skrip dieksekusi segera setelah browser mulai memuat halaman, sebelum konten apa pun sepenuhnya dirender.
Skrip main.js mencakup kemampuan mencuri informasi umum, sementara gmail.js menargetkan halaman klien email Gmail. Meskipun demikian, semua skrip diinjeksikan ke setiap halaman.
Di bagian “declarative_net_request”, ekstensi mengonfigurasi aturan untuk menghapus beberapa header Kebijakan Keamanan Konten (CSP). Hal ini memungkinkan Rilide untuk melewati batasan keamanan dan menginjeksikan konten inline.
Di bagian “background”, service worker ekstensi dikonfigurasi. Di sinilah malware memantau peristiwa browser dan menjalin komunikasi dengan server C2. Selanjutnya, kita akan menyelidiki analisis skrip latar belakang untuk lebih memahami bagaimana malware menunggu peristiwa browser dan menjalankan strategi serangannya.
Background.js berisi kode inisialisasi yang dikonfigurasi untuk dieksekusi pada peristiwa penginstalan ekstensi. Kode ini mengambil informasi perangkat, seperti CPU dan detail penyimpanan, menggunakan panggilan chrome.system dan data ekstensi yang diinstal menggunakan chrome.mangement. ID unik dihasilkan menggunakan modul uuid npm (diimpor melalui jspm) dan disimpan ke penyimpanan lokal. Akhirnya, semua cookie diambil menggunakan chrome.cookies.getAll dengan parameter filter kosong.
Data ini dikirim ke server C2, dan respons dapat mengaktifkan kemampuan proxy ekstensi. Injeksi, perintah, dan pengaturan malware juga diambil selama inisialisasi ekstensi.
Bagian terakhir dari inisialisasi adalah untuk mengaktifkan aturan penghapusan CSP, dan setelah itu malware siap untuk mengatur dan memantau peristiwa browser. Sekali lagi, kita dapat dengan jelas melihat manfaat menggunakan ekstensi browser vs. teknik injeksi web tradisional, membuat semua informasi ini mudah dikumpulkan.
Versi sebelumnya dari Rilide memiliki domain C2 yang di-hardcode langsung ke file JavaScript. Varian lain mengekstrak domain dengan mengambil detail transaksi dari dompet Bitcoin tertentu.
Varian baru yang dianalisis di sini termasuk kode yang dirancang untuk mengambil domain dari bot Telegram. Panggilan berkala untuk mengambil domain diatur untuk berjalan setiap menit menggunakan alarm Google Chrome.
Pendekatan ini memungkinkan malware untuk dengan mudah beralih domain jika salah satunya terdeteksi dan diblokir.
Meskipun varian ini tidak berisi token Telegram, metode ini kemungkinan akan muncul di versi mendatang.
Skrip konten mengirimkan semua nilai elemen input halaman menggunakan chrome.runtime.sendMessage dengan jenis pesan “new-grabber-info”.
Listener berikut diatur dalam background.js untuk meneruskan data ke server C2.
Selain itu, latar belakang sedang menunggu pesan “set-screenshot-result”.
Pesan-pesan ini memicu pengambilan tangkapan layar menggunakan chrome.tabs.captureVisibleTabdan mengirimkan data kembali ke C2.
Dengan menggunakan metode ini, jika pengguna masuk ke situs perbankan, berbagai data sensitif dapat dicuri. Data ini termasuk nama pengguna dan kata sandi, nomor akun, kode PIN, detail kartu kredit, jawaban pertanyaan keamanan, dan informasi penerima transfer.
Di bagian terakhir skrip latar belakang, panggilan berkala untuk pengambilan perintah dan pemeriksaan proxy diatur menggunakan “chrome.alarms”. Alarm perintah mengambil daftar perintah dari C2 dan mengeksekusinya satu per satu.
Alarm pemeriksaan proxy memeriksa status koneksi proxy dan memulai koneksi baru jika diperlukan. Setelah listener ditetapkan, eksekusi sinkron skrip latar belakang selesai.
cmds.js berisi kode yang memfasilitasi penerimaan perintah (dari daftar yang telah ditentukan) bersama dengan parameter dari C2 dan mengirim kembali hasil apa pun, jika berlaku.
Beberapa perintah menarik meliputi:
Perintah lain memungkinkan untuk mengubah konfigurasi ekstensi, mengambil informasi perangkat, URL saat ini, dan sebagainya. Kumpulan perintah ini memungkinkan perubahan dinamis dalam alur kerja dan eksekusi malware, membuatnya lebih mampu menarik interaksi pengguna. Sebagian besar perintah ini menggunakan fungsi ekstensi Chrome bawaan, yang memudahkan pengembangan bagi pembuat malware.
Skrip konten main.js dimulai dengan pustaka jQuery yang diinisialisasi dalam fungsi anonim, disematkan secara in-line sepenuhnya tanpa impor eksternal. Skrip ini diikuti oleh kode yang disamarkan yang mengeksekusi fungsi berbahaya.
Arsitektur ekstensi Chromium memungkinkan ekstensi untuk memisahkan tanggung jawab injeksi dan membuatnya lebih sulit untuk dideteksi. Service worker mengunduh dan menyimpan injeksi selama langkah inisialisasi, sementara skrip konten membaca dan mengeksekusinya. Tidak ada permintaan web yang dikirim dalam konteks halaman, yang membantu menjaga malware tidak terdeteksi. main.js melakukan iterasi semua injeksi yang diambil, dan jika URL saat ini cocok dengan URL injeksi, skrip ini menginjeksikannya.
Rilide menggunakan cara cerdas untuk menginjeksikan skrip ke DOM.
Malware ini membuat atribut dokumen “onreset” dengan injeksi sebagai event handler. Rilide kemudian segera mengirimkan peristiwa “reset” khusus, yang mengeksekusi injeksi, dan akhirnya menghapus atribut.
Atribut ini disetel pada waktu tertentu antara panggilan “setAttribute” dan panggilan “removeAttribute”, yang membuat alat keamanan kesulitan mendeteksi.
Panggilan fungsi terakhir mengatur listener pencuri data generik.
Menggunakan pemilih jQuery, semua elemen input dipilih, dan listener peristiwa “change” ditetapkan.
Peristiwa “change” terjadi setiap kali nilai bidang input diubah dan kehilangan fokus (pengguna mengklik elemen lain). Misalnya, ketika korban masuk ke rekening bank mereka, nama pengguna mereka dikumpulkan ketika mereka mengklik bidang kata sandi, dan input kata sandi dicuri ketika pengguna mengirimkan formulir. Data dikirim ke service worker melalui chrome.runtime.sendMessage, yang kemudian meneruskannya ke server C2.
Tujuan dari skrip ini adalah untuk mengganti permintaan otorisasi 2FA penarikan dengan permintaan otorisasi perangkat baru. Kami berspekulasi bahwa pendekatan ini membuat klien tidak menyadari penarikan yang tidak sah, karena mereka lebih cenderung menganggap otorisasi perangkat baru kurang mencurigakan daripada penarikan.
Skrip dimulai dengan inisialisasi pustaka jQuery secara inline dan pemeriksaan bahwa lokasi saat ini berisi “mail.google” sebelum memulai eksekusi. Injeksi secara berkala memeriksa email dari dompet mata uang kripto populer dan, jika terdeteksi, memanggil fungsi dompet yang sesuai.
Pemilih jQuery cukup sederhana, menggunakan “divs” yang berisi nama dompet dalam teks.
Kami akan mendemonstrasikan injeksi spesifik dari vendor tertentu, meskipun semuanya bertindak serupa.
Kode mencari elemen apa pun yang berisi teks “Permintaan Penarikan” dan menggantinya dengan “Otorisasi Perangkat Baru”.
Kode ini juga mencari elemen rentang yang berisi teks “penarikan” untuk menggantikan konten pratinjau email.
Sebelum injeksi:
Setelah injeksi:
Badan email itu sendiri ditemukan dengan cara berikut:
Sederhananya, skrip menemukan semua elemen dengan kelas CSS “ii” yang memiliki elemen “div” turunan dengan teks “periksa alamat dengan teliti”. Skrip ini juga mengekstrak kode otorisasi berdasarkan elemen dan gaya teks kode otorisasi. Metode untuk mengidentifikasi elemen ini tidak terlalu stabil, karena perubahan kecil pada gaya, teks, atau struktur dapat merusaknya.
Akhirnya, konten HTML email diganti dengan konten hardcode.
Konten asli:
Konten baru:
Mekanisme ini memungkinkan aktor ancaman untuk menarik mata uang kripto tanpa memberi tahu pengguna tentang penarikan.
Fitur menonjol lainnya yang diimplementasikan dengan mudah melalui ekstensi adalah kemampuan proxy. Rilide memungkinkan konversi browser korban menjadi proxy HTTP, meneruskan semua permintaan sambil menggunakan kredensial dan data korban.
Kemampuan ini sangat berbahaya untuk penipuan keuangan, karena penyerang dapat mengakses portal perbankan, akun perdagangan, dan platform pembayaran tanpa memicu pemeriksaan otentikasi tambahan. Mereka dapat memulai transaksi, mengubah pengaturan akun, atau menyedot dana dengan kedok aktivitas pengguna yang sah, melewati langkah-langkah keamanan tradisional seperti pelacakan alamat. Dengan menyamar sebagai korban secara efektif, penyerang dapat mengeksploitasi mekanisme berbasis kepercayaan untuk melakukan penipuan dengan lancar.
Fungsionalitas ini sangat mudah diimplementasikan karena disalin langsung dari CursedChrome, sebuah proyek edukasi yang mendemonstrasikan bukti konsep untuk jenis serangan ini.
Proxy bekerja dengan menggunakan service worker ekstensi untuk mengatur koneksi WebSocket dengan server C2 penyerang. Koneksi ini memungkinkan service worker menerima perintah yang dikirim oleh penyerang. Perintah ini menentukan tindakan proxy, seperti membuat permintaan atau membuka situs web. Permintaan dibuat menggunakan cookie yang dikumpulkan korban, dan tanggapan dikirim kembali ke C2.
Contoh kode CursedChrome:
Contoh Kode Rilide:
Selain beberapa perbedaan penamaan dan lokasi definisi fungsi, kodenya sama. Proyek ini bahkan dilengkapi dengan kode backend dan antarmuka pengguna (UI) manajemen, yang memudahkan para penyerang.
Rilide mencontohkan bagaimana ekstensi browser telah mengubah lingkungan ancaman untuk serangan man-in-the-browser. Dengan memanfaatkan kemampuan bawaan ekstensi, penyerang mendapatkan kontrol yang belum pernah terjadi sebelumnya atas browser, memungkinkan eksploitasi canggih dan terus-menerus yang jauh melampaui batasan injeksi web dalam halaman tradisional. Pergeseran ini menyoroti meningkatnya kebutuhan akan kewaspadaan dan pertahanan yang kuat, karena kesederhanaan dan kekuatan serangan berbasis ekstensi menjadikannya vektor yang menarik bagi penjahat siber.
Untuk melindungi diri mereka sendiri, pengguna harus secara teratur meninjau ekstensi browser mereka yang terinstal, segera menghapus ekstensi yang tidak dikenal atau mencurigakan.
Selain itu, penting untuk memantau akun email untuk mendeteksi aktivitas yang tidak biasa, seperti upaya login yang tidak diharapkan, dan mengawasi dompet mata uang kripto untuk mendeteksi transaksi yang tidak sah atau tindakan yang tidak dikenal. Tetap proaktif dan berhati-hati dapat membantu mengurangi risiko yang ditimbulkan oleh paradigma serangan yang berkembang ini.
IBM Trusteer membantu Anda mendeteksi penipuan dan malware, mengautentikasi pengguna, dan membangun kepercayaan identitas di seluruh perjalanan pelanggan omnichannel. Lebih dari 500 organisasi terkemuka mengandalkan Trusteer untuk membantu mengamankan perjalanan digital pelanggan mereka dan mendukung pertumbuhan bisnis.
historytab.js
2b72cc2c0c53321a472471c5189fdb56
notif.js
8679a34885a02e94189c8fec5132245a
config.js
408d8fa7eade661e9a02b6065b792fca
ico.png
40de419c81de274c26c63e0f23d91a3f
scrrule.js
9db73e9a3a24070de075da13fdea01ab
exts.js
868eb23af363b5790d16103d2dd94178
rules.json
6c1f6ab3492a615404a70161303de746
manifest.json
fd7d90a5e31cd19bbc65095d722c1525
utils.js
bd14616118af50f6e0b886bd90144845
content-scripts-register-polyfill.4.0.0.js
5bf61a91e003afb1e169e3e3be336cac
app.html
08785f3794a7ae9aab6b3fa669646794
background.js
1de94fff2cb80f44d82d69f816139974
main.js
6c19e1bf9a7eac2c9b44f5e5c0b76d39
gmail.js
49c851c025506d0a570d75bc00c7605a
csp.js
15606d8d8d6ca797c2c98c20114619b4
exchangeSettings.js
2dcf7f099c08f9d074994a0a4f996720
screen.js
7d0defc1a08d5a58d95f5ca38509c8ef
domain.js
bb0bc698eb64447a3ab581517273487b
inj.js
3d67fa8a26390e8819d6bd36a2c5959f
set.js
8049e7bd36a88f7a393b7ff0746a04db
proxing.js
b4b2510d7ec41711ef29dddddd4cab09a
cmds.js
0ebb9b78c38ae45884b85632fe087e49
machine.js
c43644bed7d94e3ec880af3195e4c906
extFiles.zip
3113c21eee9704b14437edb5c6f29634
Domain:
statbrwsr.digital
