卡巴斯基：新型木馬 Razy 專門感染瀏覽器擴充功能以竊取加密貨幣

據卡巴斯基實驗室最新發布的研究發現，一款名為 Razy 的惡意軟體正針對合法的瀏覽器擴展功能肆虐，專門在受害者瀏覽器中安裝惡意擴充程式或感染既有的擴充程式，藉此竊取加密貨幣。

根據研究，這種被稱為 Razy 的惡意軟體是一種木馬程式，全稱 Trojan.Win32.Razy.gen，是一種可執行文件，主要通過網站上的惡意廣告進行傳播，偽裝成合法軟體後被打包並分發到文件託管平台上。

Razy 專注於破壞瀏覽器，包括 Google Chrome、Mozilla Firefox 和 Yandex，而感染方式則因瀏覽器而異。

除了能自行安裝惡意瀏覽器擴充，Razy 還能逃避瀏覽器的擴充檢查、關閉瀏覽器的自動更新功能，從而感染已安裝在瀏覽器中的合法擴充程式。

卡巴斯基實驗室表示，多數惡意軟體的功能都是通過單個 Java Script 提供的，這能允許惡意軟​​體搜索到加密貨幣錢包的地址，然後再將受害者的地址替換成攻擊者所控制的地址，接著假造修改指向錢包的圖像和 QR 碼，以及修改加密貨幣交易的網頁。

Razy 還能夠在受感染的瀏覽器上假造 Google 和 Yandex 的搜索結果，導致受害者無意中訪問惡意網頁，試圖誘使受害者交出他們的登錄信息。例如，通過宣傳「新服務」或「代幣銷售優惠」，即可誘導用戶在假網頁上登錄帳號與密碼。

據卡巴斯基實驗室，在受到 Razy 影響下，「搜索」的結果會如圖所發現，前五個鏈接由惡意擴展添加，並指向釣魚網站。

若前述 3 個瀏覽器受感染，則會下載許多 Java Script。其中 2 個腳本 firebase-app.js 和 firebase-messaging.js 是合法的統計信息收集器，而另外兩個腳本 bgs.js 和 extab.js 則為惡意代碼，專門用於修改網頁並插入惡意廣告。

這篇文章 卡巴斯基：新型木馬 Razy 專門感染瀏覽器擴充功能以竊取加密貨幣 最早出現於 區塊客。

『新聞來源／區塊客 https://blockcast.it/』