Следующая новость
Предыдущая новость

Троян Razy скрывается в расширениях для браузеров и ворует криптовалюту

25.01.2019 17:52
Троян Razy скрывается в расширениях для браузеров и ворует криптовалюту

Рекомендуем почитать:

Xakep #237. Даркнет 2018

  • Содержание выпуска
  • Подписка на «Хакер»

Специалисты «Лаборатории Касперского» рассказали об обнаружении трояна Trojan.Win32.Razy.gen (далее Razy), который устанавливает на компьютер жертвы вредоносное расширение для браузера или заражает уже установленное. Для этого он отключает проверку целостности установленных расширений и автоматическое обновление атакуемого браузера.

Малварь представляет собой исполняемый файл и распространяется через блоки партнерских программ, в том числе раздается с бесплатных файловых хостингов под видом легитимного ПО. Интересно, что эту малварь недавно уже замечали на The Pirate Bay, где троян маскировался под копию фильма «Девушка, которая застряла в паутине».

Основная задача Razy – хищение криптовалюты. Для этого троян может подменять поисковую выдачу Яндекс и Google, искать на сайтах любые адреса криптовалютных кошельков и меняет их на адреса кошельков злоумышленников, подменять изображения QR-кодов кошельков, а также модифицировать страницы криптовалютных бирж.

Исследователи пишут, что троян «совместим» с браузерами Google Chrome, Mozilla Firefox и «Яндекс.Браузер», однако сценарии заражения для них различаются.

Так, для Firefox малварь выполняет установку расширения Firefox Protection, а чтобы оно заработало, редактирует следующие файлы:

  • %APPDATA%MozillaFirefoxProfiles.defaultprefs.js;
  • %APPDATA%MozillaFirefoxProfiles.defaultextensions.json;
  • %PROGRAMFILES%Mozilla Firefoxomni.js.

В «Яндекс.Браузере» устанавливается расширение Yandex Protect. Для отключения проверки целостности расширения исправляется файл %APPDATA%YandexYandexBrowserApplication\browser.dll. Оригинальный файл малварь переименовывает в browser.dll_ и оставляет в той же папке. Также с целью отключения обновлений браузера создается ключ реестра HKEY_LOCAL_MACHINESOFTWAREPoliciesYandexBrowserUpdateAllowed = 0 (REG_DWORD).
Интересно, что идентификатор вредоносного Yandex Protect (acgimceffoceigocablmjdpebeodphgc( соответствует легальному расширению для Chrome под названием Cloudy Calculator, версия 6.1.6_0. Если данное расширение уже установлено у пользователя, оно заменяется на вредоносное Yandex Protect.

Для отключения проверки целостности расширения в Chrome Razy исправляет файл %PROGRAMFILES%GoogleChromeApplication\chrome.dll. Оригинальный chrome.dll троян переименовывает в chrome.dll_ и оставляет в той же папке. Для отключения обновлений браузера создаются несколько ключей реестра.

Исследователи пишут, что им встречались случаи заражения различных расширений для Chrome. Среди них они выделяют расширение Chrome Media Router, являющееся компонентом одноименного сервиса у браузеров на основе Chromium. Оно присутствует у всех пользователей браузера Chrome, хотя и не отображается в списке установленных. В ходе заражения Razy модифицировал содержимое папки, в которой располагалось расширение Chrome Media Router: «%userprofile%AppDataLocalGoogleChromeUser DataDefaultExtensionspkedcjkdefgpdelpbcmbmeomcjbeemfm.

Вне зависимости от атакуемого браузера Razy добавляет в папку с вредоносным расширением скрипты bgs.js, extab.js, firebase-app.js, firebase-messaging.js и firebase-messaging-sw.js.

Причем скрипты firebase-app.js, firebase-messaging.js, firebase-messaging-sw.js являются легитимными. Они относятся к платформе Firebase и используются для отправки статистики на Firebase-аккаунт злоумышленника. В свою очередь, скрипты bgs.js и extab.js являются вредоносными и обфусцированы при помощи инструмента obfuscator.io. Первый отправляет статистику на Firebase-аккаунт; второй скрипт (extab.js) на каждую посещаемую пользователем страницу вставляет вызов скрипта i.js с параметрами tag=&did=&v_tag=&k_tag=. В итоге i.js модифицирует HTML-страницу, вставляя в код рекламные баннеры, видеоролики, добавляет рекламные объявления в выдачу поисковой системы Google.

Троян Razy скрывается в расширениях для браузеров и ворует криптовалюту
YouTube с красочными баннерами, которые добавил скрипт i.js

Но кульминацией заражения является скрипт main.js, вызов которого добавляется на каждую страницу.

Троян Razy скрывается в расширениях для браузеров и ворует криптовалюту

Именно он ищет на страницах сайтов адреса Bitcoin- и Ethereum-кошельков и заменяет их на адреса кошельков злоумышленников. Примечательно, что эта функция срабатывает практически на всех страницах, за исключением расположенных на доменах Google и Яндекс, а также на популярных доменах instagram.com, ok.ru и так далее.

Также подменяются изображения QR-кодов кошельков. Подмена происходит при посещении ресурсов gdax.com, pro.coinbase.com, exmo.*, binance.*, либо при обнаружении на странице элемента с src=’/res/exchangebox/qrcode/’.

Помимо описанной функциональности, main.js модифицирует страницы криптовалютных бирж EXMO и YoBit. В код страниц добавляются вызовы скриптов:

  • /js/exmo-futures.js?_= — при посещении страниц exmo.*/ru/*
  • /js/yobit-futures.js?_= — при посещении страниц yobit.*/ru/*

Где — один из доменов nolkbacteria[.]info, 2searea0[.]info, touristsila1[.]info, archivepoisk-zone[.]info.

Данные скрипты показывают пользователю поддельные сообщения с «новыми функциями» соответствующих бирж и предложениями продать криптовалюту по цене выше рыночной. По сути, пользователя убеждают перевести деньги на кошелек злоумышленника под предлогом выгодной сделки.

Троян Razy скрывается в расширениях для браузеров и ворует криптовалюту

Main.js также подменяет выдачу поисковых систем Яндекс и Google. На страницы добавляются фальшивые результаты, если поисковый запрос удовлетворяет одному из регулярных выражений:

  • /(?:^|s)(gram|телеграм|токен|ton|ico|telegram|btc|биткойн|bitcoin|coinbase|крипта|криптовалюта|,bnrjqy|биржа|бираж)(?:s|$)/g;
  • /(скачать.*музык|музык.*скачать)/g;
  • /тор?рент/g.

Таким образом зараженного пользователя либо заманивают на мошеннические, сайты либо на легальные криптовалютные ресурсы, где он обнаружит описанное выше сообщение.

Троян Razy скрывается в расширениях для браузеров и ворует криптовалюту

При посещении Wikipedia main.js добавляет на страницу баннер с текстом, призывающим материально поддержать создателей сайта. В качестве реквизитов получателей помощи указаны адреса кошельков злоумышленников. Баннер с соответствующей оригинальной просьбой (при его наличии) удаляется.

Троян Razy скрывается в расширениях для браузеров и ворует криптовалюту

При посещении сайта telegram.org пользователя также ожидает предложение купить токены Telegram по невероятно выгодной цене. А на страницы социальной сети «Вконтакте» добавляется рекламный баннер, при клике по которому (по ссылке на домен ooo-ooo[.]info) пользователь перенаправляется на фишинговые ресурсы, где его убеждают заплатить небольшую сумму денег сейчас, чтобы заработать кучу денег потом.

Троян Razy скрывается в расширениях для браузеров и ворует криптовалюту
Троян Razy скрывается в расширениях для браузеров и ворует криптовалюту

Источник

Последние новости