28/01/2019

Trojan Razy — złodziej bitcoinów

Informacje

Jeśli używasz innej przeglądarki niż domyślna systemu operacyjnego, prawdopodobnie wiesz, że oferuje ona możliwość zainstalowania rozszerzeń. A jeśli regularnie czytujesz nasz blog, wiesz również, że część z nich stwarza zagrożenie i należy je instalować tylko z oficjalnych źródeł. Niestety szkodliwe dodatki mogą zostać zainstalowane bez wiedzy użytkownika — a nawet bez żadnych działań z jego strony.

Jak trojan Razy instaluje szkodliwe rozszerzenia

Głównym podejrzanym jest trojan Razy, który dodaje do przeglądarek Google Chrome, Mozilla Firefox i Yandex (wszystkie przeznaczone dla systemu Windows) własne wtyczki. Mówiąc w skrócie, szkodliwy program wyłącza skanowanie instalowanych rozszerzeń, na wszelki wypadek blokuje opcję aktualizacji przeglądarki, a następnie rozpoczyna instalowanie szkodliwych dodatków: Firefox otrzymuje rozszerzenie Firefox Protection, a Yandex Browser — Yandex Protect. Szczegółowe informacje na ten temat umieściliśmy w serwisie Securelist.com.

Nawet jeśli nazwy te nie wzbudzają podejrzeń, samo ich pojawienie się powinno przykuć uwagę użytkownika. Szczególnie niebezpieczny jest skrypt dla przeglądarki Google Chrome: trojan Razy może zainfekować rozszerzenie systemowe Chrome Media Router, które nie pojawia się na ogólnej liście wtyczek do przeglądarki, a jeśli użytkownik nie posiada oprogramowania zabezpieczającego, zmianę można wykryć tylko w sposób bezpośredni.

Co się dzieje po infekcji

Cały scenariusz to klasyczny przykład ataku typu man-in-the-browser. Szkodliwe rozszerzenia zmieniają zawartość strony zgodnie z wytycznymi ich twórców. W przypadku trojana Razy największe zagrożenie czyha na właścicieli kryptowalut. Rozszerzenia atakują strony służące do wymiany kryptowalut, ozdabiając je banerami przedstawiającymi „lukratywne” oferty zakupu lub sprzedaży kryptowalut. Użytkownicy, którzy uwierzą w obietnice, rzeczywiście wzbogacają portfel — ale tylko cyberprzestępców.

Ponadto dodatek obserwuje, czego użytkownik wyszukuje w wyszukiwarce Google i Yandex, a jeśli zapytanie dotyczy kryptowaluty, na stronie wyświetlającej wyniki wyszukiwania umieszcza łącza do stron phishingowych.

Wyniki wyświetlane przez trojana Razy: pierwszych pięć łączy widocznych w wynikach wyszukiwania jest dodane przez szkodliwe rozszerzenie i kieruje do stron phishingowych

Zdarza się również, że wszystkie adresy portfeli (lub kody QR) na stronie internetowej są zastępowane adresami portfeli cyberprzestępców.

Użytkownicy zainfekowanych przeglądarek są także kuszeni przy pomocy banerów (na przykład na Youtube) prezentujących bogate oferty typu: „Zainwestuj teraz i zyskaj milion”, „Zarabiaj na ankietach online” itp. Wisienką na torcie jest fałszywy baner na stronach Wikipedii, w którym użytkownik jest proszony o wsparcie projektu.

Jak chronić się przed trojanem Razy

Trojan Razy jest rozprzestrzeniany pod postacią przydatnego oprogramowania w ramach programów partnerskich, ale także można go pobrać z różnych darmowych usług hostingu plików. Aby nie złapać infekcji, wystarczy pamiętać o podstawowej cyberhigienie:

  • Jeśli zamierasz pobrać jakąś aplikację, wybieraj strony producentów i źródła, którym ufasz.
  • Jeśli na komputerze zauważysz jakąś podejrzaną aktywność (np. pojawią się jakieś narzędzia służące do optymalizacji), niezwłocznie przeprowadź na nim skanowanie, ponieważ mogą one być oznaką infekcji szkodliwym oprogramowaniem.
  • Sprawdź, czy w przeglądarce nie ma wtyczek, które pojawiły się znienacka. Wyłącz te, które wzbudzają Twoje podejrzenia.
  • Korzystaj z niezawodnego rozwiązania antywirusowego.