卡巴斯基:新型木馬 Razy 專門感染瀏覽器擴充功能以竊取加密貨幣

據卡巴斯基實驗室最新發布的研究發現,一款名為 Razy 的惡意軟體正針對合法的瀏覽器擴展功能肆虐,專門在受害者瀏覽器中安裝惡意擴充程式或感染既有的擴充程式,藉此竊取加密貨幣

根據研究,這種被稱為 Razy 的惡意軟體是一種木馬程式,全稱 Trojan.Win32.Razy.gen,是一種可執行文件,主要通過網站上的惡意廣告進行傳播,偽裝成合法軟體後被打包並分發到文件託管平台上。

Razy 專注於破壞瀏覽器,包括 Google Chrome、Mozilla Firefox 和 Yandex,而感染方式則因瀏覽器而異。

除了能自行安裝惡意瀏覽器擴充,Razy 還能逃避瀏覽器的擴充檢查、關閉瀏覽器的自動更新功能,從而感染已安裝在瀏覽器中的合法擴充程式。

卡巴斯基實驗室表示,多數惡意軟體的功能都是通過單個 Java Script 提供的,這能允許惡意軟​​體搜索到加密貨幣錢包的地址,然後再將受害者的地址替換成攻擊者所控制的地址,接著假造修改指向錢包的圖像和 QR 碼,以及修改加密貨幣交易的網頁。

Razy 還能夠在受感染的瀏覽器上假造 Google 和 Yandex 的搜索結果,導致受害者無意中訪問惡意網頁,試圖誘使受害者交出他們的登錄信息。例如,通過宣傳「新服務」或「代幣銷售優惠」,即可誘導用戶在假網頁上登錄帳號與密碼。

 

據卡巴斯基實驗室,在受到 Razy 影響下,「搜索」的結果會如圖所發現,前五個鏈接由惡意擴展添加,並指向釣魚網站。

若前述 3 個瀏覽器受感染,則會下載許多 Java Script。其中 2 個腳本 firebase-app.js 和 firebase-messaging.js 是合法的統計信息收集器,而另外兩個腳本 bgs.js 和 extab.js 則為惡意代碼,專門用於修改網頁並插入惡意廣告。

這篇文章 卡巴斯基:新型木馬 Razy 專門感染瀏覽器擴充功能以竊取加密貨幣 最早出現於 區塊客。

 

『新聞來源/區塊客 https://blockcast.it/


留言載入中...P