Эксперты «Лаборатории Касперского» проанализировали обнаруженный ими в прошлом году зловред Razy. Троян атакует браузеры Mozilla Firefox, «Яндекс.Браузер» и Google Chrome путем внедрения расширений с вредоносными скриптами и крадет биткойны и монеты Ethereum.

Методы заражения несколько различаются в зависимости от браузера жертвы. При инфицировании Mozilla Firefox зловред устанавливает плагин Firefox Protection и модифицирует три файла — prefs.js, extensions.json и omni.js.

Атака на «Яндекс.Браузер» и Google Chrome начинается с отключения обновлений и проверки целостности плагинов. Для этого Razy изменяет динамическую библиотеку целевой программы — файл browser.dll или chrome.dll — и создает специальные ключи реестра для запрета на загрузку патчей.

Затем Razy устанавливает в «Яндекс.Браузер» расширение Yandex Protect. Его идентификатор совпадает с идентификатором легитимного плагина Cloudy Calculator. В браузерах, где установлен последний, зловред подменяет его.

В случае Google Chrome исследователям удалось обнаружить несколько плагинов, используемых трояном, в частности Chrome Media Router. Этот компонент присутствует во всех веб-обозревателях на движке Chromium и позволяет транслировать содержимое вкладок на подключаемые устройства для проведения презентаций. Особенность Chrome Media Router в том, что он не отображается в списке установленных плагинов.

После подмены или подключения вредоносного расширения троян доставляет в его папку одинаковый для всех браузеров набор скриптов — firebase-app.js, firebase-messaging.js, firebase-messaging-sw.js, bgs.js и extab.js. Первые три легитимны и используются авторами Razy для сбора статистики через облачный сервис Firebase.

Еще два скрипта — bgs.js и extab.js — обфусцированы и являются вредоносными. Один из них также нужен для отправки статистики на аккаунт Firebase, а второй внедряет вызов сценария i.js на каждую открытую жертвой веб-страницу. Этот скрипт добавляет в выдачу Google и на посещаемые сайты рекламные объявления.

Помимо этого, i.js вставляет на каждый ресурс скрипт main.js, который и отвечает за кражу криптовалюты. Последний не обфусцирован, что позволило экспертам «Лаборатории Касперского» подробно изучить его возможности. В задачи main.js входит:

  • подмена результатов поисковой выдачи Google и «Яндекс»;
  • замена адресов кошельков Bitcoin и Ethereum на принадлежащие злоумышленникам;
  • подмена QR-кодов кошельков на ресурсах GDAX, Coinbase Pro, EXMO, Binance и всех страницах с элементом src=’/res/exchangebox/qrcode/’;
  • внедрение фальшивых объявлений на сайт telegram[.]org, а также на страницы «Википедии» и «ВКонтакте»;
  • модификация сайтов криптовалютных бирж EXMO и YoBit.

На сайты криптобирж и в поисковую выдачу зловред добавляет скрипт для показа фальшивых объявлений с предложением продать свою криптовалюту по завышенной цене или приобрести с большими скидками. Разумеется, на самом деле никакой сделки не происходит, вместо этого деньги пользователя просто отправляются на кошельки злоумышленников.

Благодаря тому, что скрипт main.js не обфусцирован, исследователям удалось также установить адреса криптокошельков мошенников. На момент публикации отчета на их счетах находилось 0,14 биткойна и 25 монет Ethereum, что эквивалентно 32 и 197 тысячам рублей соответственно.

Категории: Аналитика, Вредоносные программы