据卡巴斯基实验室最新发布的研究发现,一款名为Razy的恶意软件正针对合法的浏览器扩展功能肆虐,专门在受害者浏览器中安装恶意扩充程序或感染既有的扩充程序,借此窃取加密货币。
根据研究,这种被称为Razy的恶意软件是一种木马程序,全称Trojan.Win32.Razy.gen,是一种可执行文件,主要通过网站上的恶意广告进行传播,伪装成合法软件后被打包并分发到文件托管平台上。
Razy专注于破坏浏览器,包括Google Chrome、Mozilla Firefox和Yandex,而感染方式则因浏览器而异。
除了能自行安装恶意浏览器扩充,Razy还能逃避浏览器的扩充检查、关闭浏览器的自动更新功能,从而感染已安装在浏览器中的合法扩充程序。
卡巴斯基实验室表示,多数恶意软件的功能都是通过单个Java Script提供的,这能允许恶意软体搜索到加密货币钱包的地址,然后再将受害者的地址替换成攻击者所控制的地址,接着假造修改指向钱包的图象和QR码,以及修改加密货币交易的网页。
Razy还能够在受感染的浏览器上假造Google和Yandex的搜索结果,导致受害者无意中访问恶意网页,试图诱使受害者交出他们的登录信息。例如,通过宣传「新服务」或「代币销售优惠」,即可诱导用户在假网页上登录帐号与密码。
据卡巴斯基实验室,在受到Razy影响下,「搜索」的结果会如图所发现,前五个连接由恶意扩展添加,并指向钓鱼网站。
若前述3个浏览器受感染,则会下载许多Java Script。其中2个脚本firebase-app.js和firebase-messaging.js是合法的统计信息收集器,而另外两个脚本bgs.js和extab.js则为恶意代码,专门用于修改网页并插入恶意广告。
分享到:
