Den Razy Trojan er rettet mod legitim browser udvidelser og er spoofing søgeresultater i forsøget på at raid cryptocurrency tegnebøger og stjæle virtuelle mønter fra ofrene.
Ifølge ny forskning offentliggjort af Kaspersky Lab, den malware, der er kendt som Razy, er en Trojan, som bruger nogle af de mere usædvanlige teknikker på rekord når at inficere systemer.
Opdaget af den cybersecurity fast som en Trojansk.Win32.Razy.gen, Razy er en eksekverbar fil, som spreder sig gennem malvertising på hjemmesider og er også pakket og distribueret på en fil-hosting-tjenester, mens forklædt som legitim software.
Hovedindholdet af malware, er dens evne til at stjæle cryptocurrency. Razy fokuserer på at gå på kompromis browsere, herunder Google Chrome, Mozilla Firefox, og Yandex. Forskellige infektion vektorer er på plads, afhængigt af typen af browser, der findes på et inficeret system.
Razy er i stand til at installere ondsindet browser-udvidelser, der er ikke noget nyt. Dog, den Trojan er også i stand til at inficere, der allerede er installeret, legitime udvidelser, ved at deaktivere integritet kontrol for udvidelser og automatiske opdateringer til browsere.
I tilfælde af Google Chrome, Razy redigeringer chrome.dll fil for at deaktivere udvidelse integritet kontrol og omdøber derefter denne fil til at bryde den standard vej. Nøgler i registreringsdatabasen er derefter oprettet for at deaktivere browser-opdateringer.
Se også: Data sikkerhed er et vigtigt spørgsmål i overensstemmelse GDPR
“Vi er stødt på tilfælde, hvor forskellige Chrome-udvidelser blev smittet,” siger forskerne. “En udvidelse, i særdeleshed, er værd at nævne: Krom Media Router er en del af den service, der med det samme navn i browsere, der er baseret på Chrom. Det er til stede på alle enheder, hvor Chrome-browseren er installeret, selv om det ikke er vist i listen over installerede udvidelser.”
For at gå på kompromis Firefox, en ondsindet udvidelse kaldet “Firefox Beskyttelse” er installeret. Når det kommer til Yandex, vil den Trojanske også deaktivere integritet kontrol, omdøbe browser.dll fil og oprette nøgler i registreringsdatabasen for at forhindre, at browser-opdateringer. En ondsindet udvidelse kaldet Yandex Beskytte derefter hentet og installeret.
Det meste af den malware funktioner er serveret gennem en enkelt .js-script, der tillader malware til at søge efter cryptocurrency wallet-adresser, erstatte disse adresser med andre, der kontrolleres af trussel aktører, spoof både billeder og QR-koder, der peger til tegnebøger, samt ændre den web-sider af cryptocurrency udvekslinger.
TechRepublic: Hackere er stadig ved hjælp af cloud-tjenester til at maskere angreb oprindelse og opbygge falske tillid
Razy er også i stand til at forfalske Google og Google ‘ s søgeresultater på inficerede browsere, hvilket kan resultere i, at ofrene uforvarende at besøge ondsindede websider. Den Trojan vil ofte manipulere med resultater vedrørende cryptocurrency i et forsøg på at lokke brugerne til at udlevere deres legitimationsoplysninger-for eksempel ved at fremme nye tjenester eller forhandle mønt salg, der kræver, at brugeren til at logge ind, hvis de ønsker at deltage.
I alle tre browser tilfælde, en række yderligere scripts er hentet. To af de scripts, firebase-app.js og firebase-messaging.js er legitime statistik samlere, mens to andre, bgs.js og extab.js er skadelig, uklar scripts, som ændre web-sider og give ondsindede annoncer, der skal indsættes.
CNET: Kollegier efter sigende drop Huawei udstyr til at tilfredsstille Trump administration
På tidspunktet for skriftligt, er i alt seks tegnebøger knyttet til denne kampagne hold 0.14 BTC, sammen med tre tegnebøger, som indeholder omkring 25 ETH.
I relaterede nyheder, forskere fra University of Illinois i Urbana-Champaign vist proof-of-concept sikkerhedshuller tidligere i denne uge, som påvirker alt 26 low-end, lad os starte.
Tidligere og relaterede dækning
Himmel Gå app sikkerhed fejl udsætter kunderne for spionage, tyveri af data
OpenBMC fanget med ‘pantsdown’ over nyt sikkerhedshul
Adobe frigiver tredje patch opdatering af den måned, squash scripting fejl
Relaterede Emner:
Blokkæden
Sikkerhed-TV
Data Management
CXO
Datacentre