據卡巴斯基實驗室最新發布的研究發現,一款名為 Razy 的惡意軟體正針對合法的瀏覽器擴展功能肆虐,專門在受害者瀏覽器中安裝惡意擴充程式或感染既有的擴充程式,藉此竊取加密貨幣。
根據研究,這種被稱為 Razy 的惡意軟體是一種木馬程式,全稱 Trojan.Win32.Razy.gen,是一種可執行文件,主要通過網站上的惡意廣告進行傳播,偽裝成合法軟體後被打包並分發到文件託管平台上。
Razy 專注於破壞瀏覽器,包括 Google Chrome 、 Mozilla Firefox 和 Yandex,而感染方式則因瀏覽器而異。
除了能自行安裝惡意瀏覽器擴充,Razy 還能逃避瀏覽器的擴充檢查、關閉瀏覽器的自動更新功能,從而感染已安裝在瀏覽器中的合法擴充程式。
卡巴斯基實驗室表示,多數惡意軟體的功能都是通過單個 Java Script 提供的,這能允許惡意軟體搜索到加密貨幣錢包的地址,然後再將受害者的地址替換成攻擊者所控制的地址,接著假造修改指向錢包的圖像和 QR 碼,以及修改加密貨幣交易的網頁。
Razy 還能夠在受感染的瀏覽器上假造 Google 和 Yandex 的搜索結果,導致受害者無意中訪問惡意網頁,試圖誘使受害者交出他們的登錄信息。例如,通過宣傳「新服務」或「代幣銷售優惠」,即可誘導用戶在假網頁上登錄帳號與密碼。
若前述 3 個瀏覽器受感染,則會下載許多 Java Script 。其中 2 個腳本 firebase-app.js 和 firebase-messaging.js 是合法的統計信息收集器,而另外兩個腳本 bgs.js 和 extab.js 則為惡意代碼,專門用於修改網頁並插入惡意廣告。