Crazy Razy, de bitcoin-dief

januari 28, 2019

Mocht je een andere browser gebruiken die niet standaard in het besturingssysteem zit, dan heb je waarschijnlijk gehoord over de extensies en misschien heb je er ook een aantal gebruikt. En als je deze blog geregeld leest, dan zul je je ervan bewust zijn dat sommige gevaarlijk zijn en alleen vanaf officiële bronnen geïnstalleerd mogen worden. Het probleem is dat kwaadaardige add-ons geïnstalleerd kunnen worden zonder dat de gebruiker het in de gaten heeft – of welke handeling dan ook (of bijna alle).

De Razy Trojaan installeert kwaadaardige extensies voor Chrome en Firefox om phishing-links te voeden en cryptovaluta te stelen.Hoe Razy kwaadaardige extensies installeert

De hoofdverdachte is de Razy Trojaan, die Google Chrome, Mozilla Firefox en de Yandex Browser (alle voor Windows) moderniseert met zijn eigen plug-ins. Meer details hierover zijn te vinden op Securelist.com, maar de malware schakelt het scannen van extensies die worden geïnstalleerd uit, blokkeert de browserupdates, voor de zekerheid, en begint dan kwaadaardige add-ons te installeren: Firefox krijgt de Firefox Bescherming extensie; de Yandex Browser krijgt Yandex Protect.

Zelfs met misleidende namen, zou met de spontante verschijning ervan een alarmbel af moeten gaan. In dit geval is in het bijzonder het script voor Google Chrome nogal gevaarlijk: Razy kan de Chrome Media Router systeemextensie infecteren, die niet in de algemene lijst verschijnt van browser plug-ins, en zonder veiligheidssoftware is het slechts indirect waarneembaar.

Wat gebeurt er na infectie

De hele situatie is een klassiek voorbeeld van een man-in-de-browser aanval. De kwaadaardige extensies veranderen website-content naar wens. In het geval van Razy hebben de eigenaren van cryptovaluta het meeste te vrezen. Het doelwit van de extensies zijn geldwissel-sites, waarop banners worden geplaatst met lucratieve deals voor de aankoop van cryptovaluta – maar gebruikers die erin trappen maken alleen de cybercriminelen rijker, en niet zichzelf.

De Razy Trojaan geeft nepaanbiedingen weer aan bezoekers die cryptovaluta willen wisselenDaarbovenop komt dat de add-ons de zoekopdrachten in Google of Yandex monitort, en als een zoekopdracht gaat over cryptovaluta, dan worden er links naar phishing-websites ingebed in de zoekresultaten.

De Razy Trojaan voegt phishing-links toe aan de zoekresultaten – een heleboel

Razy resultaten: De top vijf links in de zoekresultaten die toegevoegd zijn door de kwaadaardige extensie en die leiden naar phishing-websites

 

Een andere manier om munten te herverdelen is door alle wallet-adressen (of QR-codes) te vervangen op een website met de wallet-adressen van cybercriminelen.

Gebruikers van geïnfecteerde browsers worden ook vervolgd door banners (bijvoorbeeld op Vkontakte of YouTube) met royale aanbiedingen, zoals: ‘Investeer nu een beetje, verdien een miljoen later,’ ‘Krijg betaald voor een online enquête,’ etc. De kers op de taart is de nepbanner op Wikipedia-sites waar gebruikers worden verleid om het project te steunen.

De Razy Trojaan vertoont nepbanners aan Wikipedia-bezoekers met de boodschap 'steun het project'Hoe te beschermen tegen Razy

De Razy Trojaan wordt verspreid onder het mom van nuttige software door middel van geaffilieerde programma’s, en het kan gedownload worden vanaf verschillende free-hosting services, dus het advies voor bescherming tegen infectie is nogal standaard:

  • Download alleen apps van websiteontwikkelaars en bronnen die je vertrouwt.
  • Scan je computer onmiddellijk na het zien van verdachte activiteit (bijvoorbeeld de verschijning van onbekende tools), die kunnen duiden op verleiding tot het installeren van malware.
  • Controleer browser plug-ins die uit het niets opdoemen, en verwijder ze als ze verdacht zijn.
  • Gebruik een [KIS PLACEHOLDER]betrouwbare antivirus[/KIS PLACEHOLDER] oplossing.