據卡巴斯基實驗室最新發布的研究發現,一款名為Razy的惡意軟件正針對合法的瀏覽器擴展功能肆虐,專門在受害者瀏覽器中安裝惡意擴充程序或感染既有的擴充程序,藉此竊取加密貨幣。
根據研究,這種被稱為Razy的惡意軟件是一種木馬程序,全稱Trojan.Win32.Razy.gen,是一種可執行文件,主要通過網站上的惡意廣告進行傳播,偽裝成合法軟件後被打包並分發到文件託管平臺上。
Razy專注於破壞瀏覽器,包括Google Chrome、Mozilla Firefox和Yandex,而感染方式則因瀏覽器而異。
除了能自行安裝惡意瀏覽器擴充,Razy還能逃避瀏覽器的擴充檢查、關閉瀏覽器的自動更新功能,從而感染已安裝在瀏覽器中的合法擴充程序。
卡巴斯基實驗室表示,多數惡意軟件的功能都是通過單個Java Script提供的,這能允許惡意軟體搜索到加密貨幣錢包的地址,然後再將受害者的地址替換成攻擊者所控制的地址,接著假造修改指向錢包的圖象和QR碼,以及修改加密貨幣交易的網頁。
Razy還能夠在受感染的瀏覽器上假造Google和Yandex的搜索結果,導致受害者無意中訪問惡意網頁,試圖誘使受害者交出他們的登錄信息。例如,通過宣傳「新服務」或「代幣銷售優惠」,即可誘導用戶在假網頁上登錄帳號與密碼。
據卡巴斯基實驗室,在受到Razy影響下,「搜索」的結果會如圖所發現,前五個連接由惡意擴展添加,並指向釣魚網站。
若前述3個瀏覽器受感染,則會下載許多Java Script。其中2個腳本firebase-app.js和firebase-messaging.js是合法的統計信息收集器,而另外兩個腳本bgs.js和extab.js則為惡意代碼,專門用於修改網頁並插入惡意廣告。
分享到:
