Razy, o  ladrão de bitcoin

O Trojan Razy instala secretamente extensões maliciosas no Chrome e Firefox para enviar links de phishing e roubar criptomoedas

Se você usa um navegador diferente do determinado como padrão pelo sistema operacional, provavelmente você conhece extensões e até deve utilizar algumas. Se você também é um leitor regular do nosso blog, já sabe que algumas delas são perigosas e devem ser instaladas apenas por meio de fontes oficiais. O problema é que os complementos maliciosos podem ser instalados sem o conhecimento do usuário – e até mesmo sem qualquer tipo de ação (bem, quase).

O Trojan Razy instala secretamente extensões maliciosas no Chrome e Firefox para enviar links de phishing e roubar criptomoedas

Como o Razy instala extensões maliciosas?

O principal suspeito é o Trojan Razy, que atualiza o Google Chrome, o Mozilla Firefox e o Yandex Browser (todos para Windows) com seus próprios plugins. Você pode obter mais detalhes no Securelist, mas basicamente, o malware desabilita a verificação das extensões instaladas, bloqueia a atualização do navegador e, em seguida, adiciona os complementos maliciosos: o Firefox recebe a extensão do Firefox Protection e o Yandex Browser, o Yandex Protect.

Mesmo que os nomes sejam enganosos, sua aparição repentina deveria levantar suspeita. No Google Chrome é particularmente perigoso: o Razy pode infectar a extensão do sistema Chrome Media Router, que não aparece na lista geral de plugins do navegador e, sem o software de segurança, torna-se detectável apenas de maneira indireta.

O que acontece depois da infecção?

Esta situação é um exemplo típico de ataque man-in-the-browser. As extensões maliciosas alteram o conteúdo do site de acordo com os desejos dos seus criadores. No caso do Razy, os proprietários de criptomoeda são os que mais têm a temer. A extensão tem como alvo os sites de troca de criptomoedas, e por isso enfeita as páginas com banners que exibem ofertas “lucrativas” para compra e venda de criptomoedas – mas, os usuários que mordem a isca acabam enriquecendo apenas os cibercriminosos e não a si mesmos.

Trojan Razy exibe ofertas falsas em sites de troca de criptomoedas

Trojan Razy exibe ofertas falsas em sites de troca de criptomoedas

Além disso, o complemento espiona as pesquisas dos usuários no Google e no Yandex e, se alguma consulta for sobre criptomoeda, incorpora links para sites de phishing na página de resultados da pesquisa.

Resultados do Razy: os cinco principais links da pesquisa são adicionados pela extensão maliciosa e indicam sites de phishing

Resultados do Razy: os cinco principais links da pesquisa são adicionados pela extensão maliciosa e indicam sites de phishing

Outra maneira de “redistribuir” moedas é substituindo todos os endereços de carteira (ou QR codes) em uma página da Web pelos endereços de carteiras dos cibercriminosos.

Os usuários de navegadores infectados também são perseguidos por banners (por exemplo, no Vkontakte ou no Youtube) com ofertas generosas, como: “Invista um pouco agora, ganhe um milhão depois”, “Seja pago por uma pesquisa online” e assim por diante. A cereja do bolo é o banner falso nas páginas da Wikipédia pedindo aos usuários que apoiem o projeto.

O Trojan Razy exibe aos visitantes da Wikipédia um banner falso para "apoiar o projeto"

O Trojan Razy exibe aos visitantes da Wikipédia um banner falso para “apoiar o projeto” 

Como se proteger contra o Razy

O Trojan Razy é distribuído sob o disfarce de softwares úteis por meio de programas afiliados e pode ser feito o download de vários serviços gratuitos de hospedagem de arquivos, portanto os conselhos sobre como se proteger contra essa ameaça são bastante simples:

  • Baixe aplicativos apenas de sites de desenvolvedores e fontes de confiança.
  • Examine seu computador imediatamente caso perceba qualquer atividade suspeita (por exemplo, a aparência de ferramentas de otimização desconhecidas), que podem indicar que você foi infectado por um malware.
  • Verifique a existência de plugins do navegador que parecem estar fora do ar e desative qualquer um que possa parecer suspeito.
  • Use uma solução confiável de antivírus.
Dicas