Trojan Razy, il ladro di bitcoin

24 Gen 2019

Se utilizzate un browser diverso rispetto a quello impostato di default dal sistema operativo, probabilmente sapere quali estensioni sono presenti, e forse ne usate anche qualcuna. Se siete lettori assidui di questo blog, sapete anche che esistono delle estensioni pericolose, per questo andrebbero installate solo da fonti ufficiali e affidabili. Il problema è che gli add-on dannosi a volte vengono installati all’insaputa dell’utente e senza che abbia fatto nulla di strano (insomma, più o meno).

Ecco come Razy installa le estensioni dannose

Il Tojan Rezy installa di nascosto estensioni dannose per Chrome e Firefox per proporre link di phishing e rubare criptomonete.

Il principale colpevole il Trojan Razy, che modifica i browser Google Chrome, Mozilla Firefoz e Yandex (tutti per Windows) aggiungendo i propri plugin. Per i dettagli tecnici potete dare un’occhiata al nostro post su Securelist ma, in sostanza, il malware disattiva l’analisi delle estensioni in procinto di essere installate, blocca l’aggiornamento del browser per coprirsi le spalle e poi procede all’installazione degli add-on dannosi: Firefox, ad esempio, ottiene l’estensione Firefox Protection e Yandex il suo corrispettivo Yandex Protect.

Anche se i nomi possono trarre in inganno, la loro improvvisa apparizione già di per sé dovrebbe essere un segnale d’allarme, e lo script per Google Chrome è particolarmente pericoloso: Razy può infettare l’estensione di sistema Chrome Media Router, che non compare nell’elenco generale dei plugin del browser, e senza un software di sicurezza a disposizione, l’infezione può essere individuata solo in maniera indiretta.

Cosa succede dopo l’infezione

La situazione corrisponde a un classico attacco man-in-the-browser. Le estensioni dannose alterano i contenuti di un sito a proprio piacimento. Nel caso di Razy, i proprietari di criptomonete sono i più minacciati. L’estensione ha come obiettivo i siti di cambio di criptomonete, aggiungendo banner che propongono offerte per guadagnare criptomonete o per la loro compravendita e chi abbocca in realtà non fa altro che riempire le tasche dei cybercriminali.

Il Trojan Razy mostra false offerte ai visitatori di siti per il cambio di criptomonete.

Come se non bastasse, l’add-on sbircia tra le ricerche dell’utente su Google o Yandex e, se qualche ricerca riguarda le criptomonete, l’estensione propone siti di phishing nella pagina dei risultati di ricerca.

Il Trojan Razy aggiunge link, tanti link, di phishing ai risultati di ricerca.]

I risultati di Razy: i primi 5 link tra i risultati di ricerca sono stati aggiunti dall’estensione dannosa e portano a siti di phishing.

Un altro modo per “ridistribuire” le criptomonete è mediante la sostituzione di tutti gli indirizzi dei wallet (o dei codici QR) di un sito con gli indirizzi dei wallet di proprietà dei cybercriminali.

Agli utenti dei browser infetti vengono anche “piazzati” dei banner (ad esempio, su VKontakte o su YouTube) che propongono offerte molto generose del tipo “Investi una piccola somma ora, guadagnerai milioni poi”, oppure “Guadagna partecipando a un sondaggio online” e così via. La ciliegina sulla torta è un falso banner sulle pagine Wikipedia dove si chiede agli utenti di sostenere economicamente il progetto.

Il Trojan Razy mostra un falso banner ai visitatori del sito di Wikipedia per il sostegno economico al progetto

Come non cadere nella trappola del Trojan Razy

Il Trojan Razy si diffonde sotto le mentite spoglie di software utili e attraverso i programmi di affiliazione, e può essere scaricato da diversi servizi gratuiti di file-hosting. Alla luce di tutto ciò, i nostri consigli per proteggersi da questo tipo di infezione saranno piuttosto standard:

  • Scaricate le app direttamente dai siti dei corrispondenti sviluppatori o da fonti di una certa reputazione e fiducia;
  • Se notate una qualsiasi attività sospetta sul vostro computer (come la comparsa di tool di ottimizzazione a voi non famigliari), avviate immediatamente l’analisi del dispositivo. Tale attività sospetta potrebbe voler dire che sul vostro computer potrebbe esserci un malware;
  • Esaminate con attenzione quei plugin che sembrano essere comparsi sul vostro browser dall’oggi al domani e disattivate quelli sospetti;
  • Utilizzate sempre una soluzione antivirus affidabile.