Den Razy Trojan är att rikta legitim webbläsare och är förfalskade sök resultat i strävan att raid cryptocurrency plånböcker och stjäla virtuella mynt från offren.
Enligt ny forskning som publiceras av Kaspersky Lab, malware, känd som Razy, är en Trojan som använder några av de mer ovanliga tekniker på posten när infekterar system.
Upptäckt av it-företaget som Trojan.Win32.Razy.gen, Razy är en körbar fil som sprider sig genom skadliga annonser på webbplatser och är också paketeras och distribueras på fil hosting-tjänster medan förklädd ett legitimt program.
Huvuddelen av skadlig kod är dess förmåga att stjäla cryptocurrency. Razy fokuserar på att kompromissa webbläsare, däribland Google Chrome, Mozilla Firefox och Google. Olika infektion vektorer är på plats, beroende på vilken typ av webbläsare som finns på ett infekterat system.
Razy kan installera skadlig webbläsare, vilket är inget nytt. Dock den Trojan också kunna infektera redan installerat, legitima tillägg, genom att inaktivera kontroll integritet för tillägg och automatiska uppdateringar för webbläsare.
I fallet med Google Chrome, Razy redigeringar chrome.dll filen för att inaktivera tillägget integritet kontrollerar och byter sedan namn på denna fil för att bryta den vanliga vägen. Registret nycklar skapas då för att inaktivera uppdateringar för webbläsaren.
Se även: Data-säkerhet är en viktig fråga i överensstämmelse GDPR
“Vi har stött på fall där olika Chrome-tillägg var infekterade,” forskarna säger. “En förlängning, i synnerhet, är värda att nämna: Chrome Media Router är en del av tjänsten med samma namn i webbläsare som bygger på Krom. Den finns på alla enheter där webbläsaren Chrome är installerat, även om det inte visas i listan över installerade tillägg”.
I syfte att kompromissa med Firefox, en skadlig förlängning kallas “Firefox Skydd” är installerat. När det kommer till Yandex, den Trojanska kommer också att inaktivera kontroll integritet, byt namn på den browser.dll fil och skapa en registernyckel för att förhindra uppdateringar för webbläsaren. En skadlig förlängning kallas Yandex Skydda är sedan laddas ner och installeras.
De flesta av de skadliga funktioner betjänas genom en enda .js script som tillåter malware för att söka efter cryptocurrency plånbok postadresser, byt ut dessa adresser med andra kontrolleras av hot aktörer, spolat både bilder och QR-koder som pekar på att plånböcker, samt ändra webbsidor cryptocurrency utbyte.
TechRepublic: Hackare är fortfarande använda molntjänster för att maskera attack ursprung och bygga falskt förtroende
Razy är också i stånd att lura Google och Googles sökresultat på infekterade webbläsare, vilket kan resultera i offer oavsiktligt besöka skadliga webbsidor. Den Trojanska kommer ofta att mixtra med resultaten avseende cryptocurrency i ett försök att locka användare till att lämna över sina referenser, till exempel genom att främja nya tjänster eller fynd mynt försäljning som kräver att användaren loggar in om de vill delta.
I alla tre webbläsare fall, ytterligare ett antal manus är hämtat. Två av skript, firebase-app.js och firebase-messaging.js är berättigade statistik samlare, medan två andra, bgs.js och extab.js är skadlig, förvrängd skript som ändrar web-sidor och ge skadliga annonser att införas.
CNET: Högskolor enligt uppgift släpper Huawei utrustning för att blidka Trump administration
I skrivande stund, totalt sex plånböcker som är länkade till denna kampanj håller på 0,14-KUND, tillsammans med tre plånböcker som innehåller ungefär 25 ETH.
I relaterade nyheter, forskare från University of Illinois at Urbana-Champaign visat proof-of-concept säkerhetsproblem tidigare i veckan, vilken inverkan en summa av 26 low-end cryptocurrencies.
Tidigare och relaterade täckning
Sky Gå app säkerhet misslyckande utsätter kunderna för att snooping, data stöld
OpenBMC påkommen med “pantsdown” över en ny säkerhetsbrist
Adobe släpper tredje patch uppdatering av den månad squash skript fel
Relaterade Ämnen:
Blockchain
Säkerhet-TV
Hantering Av Data
CXO
Datacenter