“Лабораторией Касперского” выявлен новый вредоносный вирус Razy (Trojan.Win32.Razy.gen). Вирус устанавливает вредоносное расширение браузера на ПК пользователей, либо заражает уже существующее.
Основная задача Razy — кража криптовалюты. Основным инструментом Razy является скрипт main.js, который умеет:
- Искать на веб-сайтах адреса криптовалютных кошельков и заменять их на адреса кошельков злоумышленника
- Изменять изображения QR-кодов кошельков
- Изменять страницы криптовалютных бирж
- Подменять выдачу поисковых систем Яндекс и Google
Вирус Razy взаимодействует с браузерами Google Chrome, Mozilla Firefox, Яндекс.Браузер, но интегрируется в каждый браузер по разному. Для этого он отключает проверку целостности установленных расширений и автоматическое обновление атакуемого браузера.
Так, для Firefox вирус выполняет установку расширения Firefox Protection, а чтобы оно заработало, редактирует следующие файлы:
%APPDATA%\Mozilla\Firefox\Profiles\.default\prefs.js;
%APPDATA%\Mozilla\Firefox\Profiles\.default\extensions.json;
%PROGRAMFILES%\Mozilla Firefox\omni.js.
В «Яндекс.Браузере» устанавливается расширение Yandex Protect. Для отключения проверки целостности расширения исправляется файл %APPDATA%\Yandex\YandexBrowser\Application\\browser.dll. Оригинальный файл вирус переименовывает в browser.dll_ и оставляет в той же папке. Также с целью отключения обновлений браузера создается ключ реестра HKEY_LOCAL_MACHINE\SOFTWARE\Policies\YandexBrowser\UpdateAllowed = 0 (REG_DWORD).
Интересно, что идентификатор вредоносного Yandex Protect (acgimceffoceigocablmjdpebeodphgc( соответствует легальному расширению для Chrome под названием Cloudy Calculator, версия 6.1.6_0. Если данное расширение уже установлено у пользователя, оно заменяется на вредоносное Yandex Protect.
Для отключения проверки целостности расширения в Chrome Razy исправляет файл %PROGRAMFILES%\Google\Chrome\Application\\chrome.dll. Оригинальный chrome.dll троян переименовывает в chrome.dll_ и оставляет в той же папке. Для отключения обновлений браузера создаются несколько ключей реестра.
Вне зависимости от атакуемого браузера Razy добавляет в папку с вредоносным расширением скрипты bgs.js, extab.js, firebase-app.js, firebase-messaging.js и firebase-messaging-sw.js.
Причем скрипты firebase-app.js, firebase-messaging.js, firebase-messaging-sw.js являются легитимными. Они относятся к платформе Firebase и используются для отправки статистики на Firebase-аккаунт злоумышленника. В свою очередь, скрипты bgs.js и extab.js являются вредоносными и обфусцированы при помощи инструмента obfuscator.io. Первый отправляет статистику на Firebase-аккаунт; второй скрипт (extab.js) на каждую посещаемую пользователем страницу вставляет вызов скрипта i.js с параметрами tag=&did=&v_tag=&k_tag=. В итоге i.js модифицирует HTML-страницу, вставляя в код рекламные баннеры, видеоролики, добавляет рекламные объявления в выдачу поисковой системы Google.
Но кульминацией заражения является скрипт main.js, вызов которого добавляется на каждую страницу.
Именно он ищет на страницах сайтов адреса Bitcoin- и Ethereum-кошельков и заменяет их на адреса кошельков злоумышленников. Примечательно, что эта функция срабатывает практически на всех страницах, за исключением расположенных на доменах Google и Яндекс, а также на популярных доменах instagram.com, ok.ru и так далее.
Также подменяются изображения QR-кодов кошельков. Подмена происходит при посещении ресурсов gdax.com, pro.coinbase.com, exmo.*, binance.*, либо при обнаружении на странице элемента с src=’/res/exchangebox/qrcode/’.
Помимо описанной функциональности, main.js модифицирует страницы криптовалютных бирж EXMO и YoBit. В код страниц добавляются вызовы скриптов.
Данные скрипты показывают пользователю поддельные сообщения с «новыми функциями» соответствующих бирж и предложениями продать криптовалюту по цене выше рыночной. По сути, пользователя убеждают перевести деньги на кошелек злоумышленника под предлогом выгодной сделки.
Main.js также подменяет выдачу поисковых систем Яндекс и Google. На страницы добавляются фальшивые результаты. Таким образом зараженного пользователя либо заманивают на мошеннические сайты, либо на легальные криптовалютные ресурсы, где он обнаружит описанное выше сообщение.
При посещении Wikipedia main.js добавляет на страницу баннер с текстом, призывающим материально поддержать создателей сайта. В качестве реквизитов получателей помощи указаны адреса кошельков злоумышленников. Баннер с соответствующей оригинальной просьбой (при его наличии) удаляется.
При посещении сайта telegram.org пользователя также ожидает предложение купить токены Telegram по невероятно выгодной цене. А на страницы социальной сети «Вконтакте» добавляется рекламный баннер, при клике по которому (по ссылке на домен ooo-ooo[.]info) пользователь перенаправляется на фишинговые ресурсы, где его убеждают заплатить небольшую сумму денег сейчас, чтобы заработать кучу денег потом.
Использованы материалы с сайта xakep.ru
