Windows malver: Preko ekstenzija do kriptovaluta

Windows malver koji je poneo ime Razy odgovoran je za krađe kriptovaluta, a funkcioniše preko ekstenzija u okviru internet pretraživača, preko kojih izvodi niz online prevara koje pogađaju i najopreznije korisnike.

Prema podacima eksperata iz kompanije Kaspersky Lab, Razy cilja korisnike Google Chrome, Mozilla Firefox i Yandex pretraživača, a do njih dolazi preko malicioznih reklama ili besplatnih softvera. Kada jednom stigne do ranjivog računara, Razy obustavlja proveravanje ekstenzija na pretraživačima, te automatska ažuriranja za pogođeni pretraživač, da bi nakon toga instalirao maliciozne ekstenzije. Kreatori novog malvera dobro su znali koji su im ciljevi, budući da malver raspolaže nizom trikova kojima žrtve motiviše da preuzmu maliciozni paket, te otkriju podatke o svojim digitalnim novčanicima. Pored toga tu je i funkcija „findAndReplaceWalletAddresses“, koja cilja Bitkoin i Ethereum novčanike, te adrese žrtava zamenjuje adresama napadača, što omogućava preuzimanje kriptovaluta.

Malver je primećen i u okviru socijalnih platformi poput Instagram-a, te ruske OK.RU, ali ne funkcioniše na stranicama koje imaju Google i Yandex domene. Razy ima drugačiji scenario za svaki tip pretraživača, pa u okviru Firefox-a, na primer, trojanac na početku instalira ekstenziju Firefox Protection, dok se u okviru Chrome-a i Yandex-a ponaša drugačije, što je osnovni razlog zbog kojeg ga je teško detektovati kako bi bio uklonjen na vreme.

Izvor: Threat Post