Il Razy Trojan targeting è legittimo estensioni del browser e spoofing risultati di ricerca nel tentativo di raid cryptocurrency portafogli e rubare le monete virtuali da parte delle vittime.
Secondo una nuova ricerca pubblicata da Kaspersky Lab, il malware, noto come Razy, è un Trojan che utilizza alcune delle più strane tecniche di record quando infettare i sistemi.
Rilevato dalla sicurezza informatica azienda come Trojan.Win32.Razy.gen, Razy è un file eseguibile che si diffonde attraverso i malvertising siti web ed è anche confezionato e distribuito su servizi di file hosting, mentre fingeva di software legittimo.
La spinta principale del malware è la sua capacità di rubare cryptocurrency. Razy si concentra su compromettere i browser, tra cui Google Chrome, Mozilla Firefox, e Yandex. Diversi vettori di infezione sono in atto a seconda del tipo di browser trovato su un sistema infetto.
Razy è in grado di installare dannoso estensioni del browser, che non è nulla di nuovo. Tuttavia, il Trojan è anche in grado di infettare già installato, legittimo estensioni, disattivando i controlli di integrità per le estensioni e aggiornamenti automatici per i browser.
Nel caso di Google Chrome, modifica il Razy chrome.dll file per disattivare l’estensione controlli di integrità e quindi si rinomina il file per rompere standard di percorso. Chiavi del registro di sistema vengono quindi creati per disattivare gli aggiornamenti del browser.
Vedi anche: la sicurezza dei Dati è un problema importante, in conformità GDPR
“Abbiamo incontrato i casi in cui diverse estensioni di Chrome sono stati infettati,” dicono i ricercatori. “Una estensione, in particolare, è degno di nota: Chrome Media Router è un componente di servizio con lo stesso nome nel browser basato su Chromium. E ‘ presente su tutti i dispositivi in cui il browser Chrome è installato, anche se non è visualizzata nell’elenco delle estensioni installate.”
Compromettere Firefox, dannoso estensione chiamata “Firefox” Protezione è installato. Quando si tratta di Yandex, il Trojan anche disabilitare i controlli di integrità, rinominare il browser.dll file e creare chiavi di registro per evitare aggiornamenti del browser. Un malintenzionato estensione chiamata Yandex Proteggere viene scaricato e installato.
La maggior parte del malware funzioni sono serviti attraverso una singola .js script che permetta di malware per la ricerca di cryptocurrency portafoglio indirizzi, sostituire questi indirizzi con altri controllato dalla minaccia attori, la parodia di immagini e codici QR, che il punto di portafogli, nonché di modificare le pagine web di cryptocurrency scambi.
TechRepublic: gli Hacker sono ancora utilizzando servizi cloud mask attack origine e costruire false fiducia
Razy è anche in grado di falsificare Google e Yandex risultati di ricerca su browser infetti, che potrebbe causare vittime inconsapevolmente visitare pagine web malevoli. Il Trojan spesso manomettere i risultati relativi a cryptocurrency, nel tentativo di invogliare gli utenti a consegnare le proprie credenziali, ad esempio, la promozione di nuovi servizi o di affare moneta di vendita che richiedono all’utente di accedere, se vogliono partecipare.
In tutti e tre i browser casi, un certo numero di script aggiuntivi vengono scaricati. Due script, firebase-app.js e firebase-messaging.js sono legittime le statistiche collezionisti, mentre per gli altri due bgs.js e extab.js sono dannosi, offuscato script che modifica le pagine web e permettono di annunci dannosi per l’inserimento.
CNET: Collegi riferito goccia Huawei attrezzature per placare Trump amministrazione
Al momento della scrittura, per un totale di sei portafogli legati a questa campagna di tenere 0.14 BTC, accanto a tre portafogli che contengono circa il 25 ETH.
Nelle notizie correlate, i ricercatori della University of Illinois a Urbana-Champaign hanno dimostrato proof-of-concept vulnerabilità di sicurezza all’inizio di questa settimana che hanno un impatto su un totale di 26 di fascia bassa cryptocurrencies.
Precedente e relativa copertura
Sky Go app mancata sicurezza espone ai clienti di spionaggio, furto di dati
OpenBMC catturato con ‘pantsdown’ più nuova falla di sicurezza
Adobe rilascia la terza patch di aggiornamento del mese di squash di scripting bug
Argomenti Correlati:
Blockchain
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati