{"id":16829,"date":"2019-01-24T18:34:52","date_gmt":"2019-01-24T16:34:52","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=16829"},"modified":"2019-11-22T10:57:30","modified_gmt":"2019-11-22T08:57:30","slug":"razy-trojan-cryptocurrency-stealer","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/razy-trojan-cryptocurrency-stealer\/16829\/","title":{"rendered":"Trojan Razy, il ladro di bitcoin"},"content":{"rendered":"

Se utilizzate un browser diverso rispetto a quello impostato di default dal sistema operativo, probabilmente sapere quali estensioni sono presenti, e forse ne usate anche qualcuna. Se siete lettori assidui di questo blog, sapete anche che esistono delle estensioni pericolose<\/a>, per questo andrebbero installate solo da fonti ufficiali e affidabili. Il problema \u00e8 che gli add-on dannosi a volte vengono installati all\u2019insaputa dell\u2019utente e senza che abbia fatto nulla di strano (insomma, pi\u00f9 o meno).<\/p>\n\n

Ecco come Razy installa le estensioni dannose<\/h3>\n

Il principale colpevole il Trojan Razy, che modifica i browser Google Chrome, Mozilla Firefoz e Yandex (tutti per Windows) aggiungendo i propri plugin. Per i dettagli tecnici potete dare un\u2019occhiata al nostro post su Securelist<\/a> ma, in sostanza, il malware disattiva l\u2019analisi delle estensioni in procinto di essere installate, blocca l\u2019aggiornamento del browser per coprirsi le spalle e poi procede all\u2019installazione degli add-on dannosi: Firefox, ad esempio, ottiene l\u2019estensione Firefox Protection e Yandex il suo corrispettivo Yandex Protect.<\/p>\n

Anche se i nomi possono trarre in inganno, la loro improvvisa apparizione gi\u00e0 di per s\u00e9 dovrebbe essere un segnale d\u2019allarme, e lo script per Google Chrome \u00e8 particolarmente pericoloso: Razy pu\u00f2 infettare l\u2019estensione di sistema Chrome Media Router, che non compare nell\u2019elenco generale dei plugin del browser, e senza un software di sicurezza a disposizione, l\u2019infezione pu\u00f2 essere individuata solo in maniera indiretta.<\/p>\n

Cosa succede dopo l\u2019infezione<\/h3>\n

La situazione corrisponde a un classico attacco man-in-the-browser<\/a>. Le estensioni dannose alterano i contenuti di un sito a proprio piacimento. Nel caso di Razy, i proprietari di criptomonete sono i pi\u00f9 minacciati. L\u2019estensione ha come obiettivo i siti di cambio di criptomonete, aggiungendo banner che propongono offerte per guadagnare criptomonete o per la loro compravendita e chi abbocca in realt\u00e0 non fa altro che riempire le tasche dei cybercriminali.<\/p>\n

\"Il<\/p>\n

Come se non bastasse, l\u2019add-on sbircia tra le ricerche dell\u2019utente su Google o Yandex e, se qualche ricerca riguarda le criptomonete, l\u2019estensione propone siti di phishing nella pagina dei risultati di ricerca.<\/p>\n

\"Il

I risultati di Razy: i primi 5 link tra i risultati di ricerca sono stati aggiunti dall\u2019estensione dannosa e portano a siti di phishing.<\/p><\/div>\n

Un altro modo per \u201cridistribuire\u201d le criptomonete \u00e8 mediante la sostituzione di tutti gli indirizzi dei wallet (o dei codici QR) di un sito con gli indirizzi dei wallet di propriet\u00e0 dei cybercriminali.<\/p>\n

Agli utenti dei browser infetti vengono anche \u201cpiazzati\u201d dei banner (ad esempio, su VKontakte o su YouTube) che propongono offerte molto generose del tipo \u201cInvesti una piccola somma ora, guadagnerai milioni poi\u201d, oppure \u201cGuadagna partecipando a un sondaggio online\u201d e cos\u00ec via. La ciliegina sulla torta \u00e8 un falso banner sulle pagine Wikipedia dove si chiede agli utenti di sostenere economicamente il progetto.<\/p>\n

\"Il<\/p>\n

Come non cadere nella trappola del Trojan Razy<\/h3>\n

Il Trojan Razy si diffonde sotto le mentite spoglie di software utili e attraverso i programmi di affiliazione<\/a>, e pu\u00f2 essere scaricato da diversi servizi gratuiti di file-hosting. Alla luce di tutto ci\u00f2, i nostri consigli per proteggersi da questo tipo di infezione saranno piuttosto standard:<\/p>\n