De Razy Trojan is gericht op legitieme browser-extensies en is spoofing zoekresultaten in de zoektocht naar raid cryptocurrency portemonnee en het stelen van virtuele munten van slachtoffers.
Volgens nieuw onderzoek gepubliceerd door Kaspersky Lab, de malware, bekend als Razy, is een Trojan die gebruik maakt van enkele van de meer ongebruikelijke technieken op record bij het infecteren van systemen.
Ontdekt door de cybersecurity bedrijf als Trojan.Win32.Razy.gen, Razy is een uitvoerbaar bestand, dat zich verspreidt via malvertising op websites en is ook verpakt en gedistribueerd op file hosting-diensten, terwijl het zich voordoet als legitieme software.
De hoofdlijnen van de malware is de mogelijkheid om te stelen cryptocurrency. Razy richt zich op het compromitteren van de browsers, waaronder Google Chrome, Mozilla Firefox, en Yandex. Verschillende infectie vectoren zijn afhankelijk van het type browser gevonden op een geïnfecteerd systeem.
Razy is in staat om het installeren van kwaadaardige browser-extensies, dat is niets nieuws. Echter, de Trojan is ook in staat om te infecteren reeds geïnstalleerde legitieme extensies, door het uitschakelen van de integriteit controleert voor uitbreidingen en automatische updates voor browsers.
In het geval van Google Chrome, Razy wijzigingen in de chrome.dll bestand extensie uitschakelen integriteit controleert en vervolgens wijzigt dit bestand te breken van het standaard pad. Registersleutels zijn gecreëerd voor het uitschakelen van de browser updates.
Zie ook: beveiliging van de Gegevens is een belangrijke kwestie in de GDPR compliance
“We hebben ondervonden gevallen waar andere Chrome-extensies werden besmet,” zeggen de onderzoekers. “Een uitbreiding, in het bijzonder, is het vermelden waard: Chroom Media Router is een onderdeel van de dienst met dezelfde naam in browsers gebaseerd op Chromium. Het is aanwezig op alle apparaten waar de Chrome-browser is geïnstalleerd, ook al is het niet weergegeven in de lijst met geïnstalleerde extensies.”
Om een compromis te sluiten Firefox, een kwaadaardige extensie genaamd “Firefox Bescherming” is geïnstalleerd. Als het gaat om Yandex, de Trojan zal ook het uitschakelen van de integriteit van de controles, de naam van het browser.dll bestand en het maken van registersleutels te voorkomen dat de browser updates. Een kwaadaardige extensie genaamd Yandex Beschermen wordt vervolgens gedownload en geïnstalleerd.
Het merendeel van de malware-functies worden bediend via een single .js script dat het mogelijk maakt de malware te zoeken voor cryptocurrency portemonnee adressen, vervang deze adressen met anderen gecontroleerd door bedreiging acteurs, een spoof van zowel afbeeldingen en QR-codes die verwijzen naar portefeuilles, alsmede het wijzigen van de webpagina ‘ s van cryptocurrency uitwisselingen.
TechRepublic: Hackers zijn nog steeds gebruik van cloud-diensten om een masker aanval oorsprong en het bouwen van valse vertrouwen
Razy is ook in staat om een spoof van Google en Yandex zoekresultaten op geïnfecteerde browsers, die zouden kunnen leiden tot slachtoffers onbewust het bezoeken van kwaadaardige webpagina ‘ s. De Trojan zal vaak knoeien met de resultaten in verband met cryptocurrency in een poging om gebruikers te verleiden tot hand over hun referenties, bijvoorbeeld door het bevorderen van nieuwe diensten of koopje munten verkopen die vereisen dat de gebruiker om in te loggen als zij wensen deel te nemen.
In alle drie de browser gevallen, een aantal extra scripts zijn gedownload. Twee van de scripts, firebase-app.js en firebase-messaging.js zijn legitieme statistieken verzamelaars, terwijl de twee anderen, bgs.js en extab.js zijn kwaadaardige, obfuscated scripts die het wijzigen van webpagina ‘ s en laat kwaadaardige advertenties worden geplaatst.
CNET: Hogescholen naar verluidt drop Huawei apparatuur te sussen Trump administratie
Op het moment van schrijven, van een totaal van zes portemonnee gekoppeld aan deze campagne houdt 0.14 BTC, naast de drie portefeuilles die bevatten ongeveer 25 ETH.
In gerelateerd nieuws, onderzoekers van de Universiteit van Illinois in Urbana-Champaign aangetoond proof-of-concept beveiligingsproblemen eerder deze week die van invloed zijn op een totaal van 26 low-end cryptocurrencies.
Vorige en aanverwante dekking
Sky Go app beveiliging niet bloot klanten te spionage, diefstal van gegevens
OpenBMC gevangen met ‘pantsdown’ over nieuwe lek
Adobe kondigt de derde patch update van de maand om squash scripting bugs
Verwante Onderwerpen:
Blockchain
Beveiliging TV
Data Management
CXO
Datacenters