Malware Razy sử dụng các extensions các trình duyệt nhằm lừa đảo tiền điện tử

Phần mềm độc hại nhắm vào các nạn nhân theo nhiều cách một cách lén lút khi họ đang truy cập trên web.

Một phần mềm độc hại Windows có tên là Raz Razy đã được phát hiện, đây là một  công cụ đánh cắp tiền điện tử và các công cụ lừa đảo. Razy hoạt động bằng cách tấn công các phần mở rộng trình duyệt để tiếp tục thực hiện một loạt các vụ lừa đảo trực tuyến trên các nạn nhân vô tình.

Theo các nhà nghiên cứu tại Kaspersky Lab, Razy là mộttrojan nhắm vào người dùng Google Chrome, Mozilla Firefox và Yandex Browser. Đó là một tập tin thực thi lan truyền theo hai cách. Những người này thông qua quảng cáo độc hại trực tuyến hoặc bằng cách cung cấp các phần mềm miễn phí hợp pháp có sẵn trên các dịch vụ lưu trữ tệp. Sau khi tải xuống và thực thi, Razy vô hiệu hóa việc kiểm tra tính toàn vẹn cho các tiện ích mở rộng trình duyệt đã cài đặt trên máy tính của nạn nhân (và chặn cập nhật tự động cho trình duyệt được nhắm mục tiêu); sau đó, nó thiết lập về việc cài đặt một phần mở rộng trình duyệt độc hại.

Những người đứng sau Razy là những hacker vô cùng chuyên nghiệp, các nhà nghiên cứu cho biết. Phần mềm độc hại có rất nhiều mánh khóe để thuyết phục những người từ chối trực tuyến ho ra tiền cho các dịch vụ giả mạo và nó cũng có thể đánh cắp tiền điện tử – tất cả thông qua một phần mở rộng được trang bị các mã độc.

Chẳng hạn, nó có thể tìm kiếm địa chỉ của ví tiền điện tử của nạn nhân trên các trang web và thay thế chúng bằng chi tiết ví của kẻ tấn công, các nhà nghiên cứu cho biết. Chức năng có tên là find findAndReplaceWalletAddresses, có thể tìm kiếm cụ thể các ví Bitcoin và Ethereum mà nạn nhân có thể sử dụng. Phần mềm độc hại thu thập dữ liệu các trang web đã truy cập, bao gồm các trang truyền thông xã hội như Instagram và trang web tiếng Nga OK.RU – nhưng nó không hoạt động trên các trang nằm trên tên miền Google và Yandex.

Razy cũng có thể giả mạo hình ảnh của mã QR trên các sàn giao dịch tiền tệ chỉ vào ví, giúp việc chuyển tiền di động dễ dàng hơn. Khi người dùng truy cập trang có mã QR được lưu trữ trên GDAX / Coinbase Pro, EXMO hoặc Binance – hoặc khi một phần tử có src = ‘/ res / exchangeebox / qrcode /’ được phát hiện trên trang web – tập lệnh độc hại cốt lõi của nó (được gọi là chính .js) thay thế mã QR trỏ đến ví của tác nhân đe dọa thay thế.

Main.js cũng có thể sửa đổi các trang web của các trao đổi tiền điện tử EXMO và YoBit. Các nhà nghiên cứu giải thích, các tập lệnh này hiển thị các tin nhắn giả cho người dùng về ‘các tính năng mới’ trong các trao đổi tương ứng và đề nghị bán tiền điện tử với mức giá cao hơn thị trường. Nói cách khác, người dùng được thuyết phục chuyển tiền của họ vào ví của tội phạm mạng với lý do là một thỏa thuận tốt.

Và như thể điều này không đủ, main.js cũng giả mạo kết quả tìm kiếm của Google và Yandex, nếu yêu cầu tìm kiếm phải thực hiện với tiền điện tử, trao đổi tiền điện tử, tải nhạc hoặc tải xuống.

Các nhà nghiên cứu cho biết, đây là cách người dùng bị nhiễm bị dụ dỗ truy cập các trang web bị nhiễm hoặc các trang web có chủ đề tiền điện tử hợp pháp nơi họ sẽ thấy [một tin nhắn lừa đảo].

Razy cũng hiển thị quảng cáo độc hại trên các trang web phổ biến cho người dùng bị nhiễm bệnh. Khi người dùng truy cập Wikipedia chẳng hạn, main.js thêm một biểu ngữ có chứa yêu cầu quyên góp để hỗ trợ bách khoa toàn thư trực tuyến.

Theo các phân tích, các địa chỉ ví của tội phạm mạng được sử dụng thay cho các chi tiết ngân hàng, theo phân tích. Cấm Biểu ngữ Wikipedia gốc yêu cầu quyên góp (nếu có) đã bị xóa.

Tương tự, khi người dùng truy cập Telegram.org, họ sẽ thấy lời đề nghị mua mã thông báo Telegram với mức giá cực kỳ thấp – với bất kỳ giao dịch mua nào sẽ được chuyển thẳng đến tội phạm mạng. Và khi người dùng truy cập các trang của mạng xã hội Nga Vkontakte (VK), trojan đã thêm một biểu ngữ quảng cáo chuyển hướng người dùng đến một trang web lừa đảo, nơi họ được nhắc trả một khoản tiền nhỏ ngay bây giờ để kiếm tiền sau này, Theo phân tích.

Razy có các kịch bản lây nhiễm khác nhau cho từng loại trình duyệt.

Đối với Firefox, trojan chỉ cần cài đặt một phần mở rộng trình duyệt độc hại có tên Firefox Protection.

Đối với Yandex và Chrome, quy trình này có chiều sâu hơn một chút: Razy chỉnh sửa các tệp của browser browser.dll, hoặc chrome chrome.dll, trong các thư viện ứng dụng để vô hiệu hóa kiểm tra tính toàn vẹn của tiện ích mở rộng. Sau đó, nó đổi tên ban đầu thành lần lượt là browser browser.dll_ và hoặc chrome chrome.dll_, và để chúng trong cùng một thư mục.

Trong trường hợp của Yandex, sau đó cài đặt một tiện ích mở rộng có tên là Yandex Protect. Trong Chrome, nó lây nhiễm các tiện ích mở rộng hợp pháp hiện có khác nhau: Chẳng hạn, Bộ định tuyến Chrome Media có mặt trên tất cả các thiết bị nơi trình duyệt Chrome được cài đặt, mặc dù nó không được hiển thị trong danh sách các tiện ích mở rộng đã cài đặt. Trong một số trường hợp nhiễm trùng được quan sát, Razy sửa đổi nội dung của thư mục nơi đặt tiện ích mở rộng Bộ định tuyến Chrome Media để tiêm mã độc.

Các tập lệnh độc hại mà nó sử dụng là như nhau, bất kể thói quen lây nhiễm hay trình duyệt nào đang được nhắm mục tiêu, theo các nhà nghiên cứu của Kaspersky Lab.

Không phụ thuộc vào loại trình duyệt được nhắm mục tiêu, Razy đã thêm các tập lệnh sau mà nó mang theo vào thư mục chứa tập lệnh độc hại: bgs.js, extab.js, firebase-app.js, firebase-Messaging.js và firebase-Messaging-sw. js, nhóm nghiên cứu ghi chú trong một bài viết vào thứ năm. Tập tin manifest.json đã được tạo trong cùng một thư mục hoặc được ghi đè để đảm bảo các tập lệnh này được gọi.

Các tập lệnh firebase-app.js, firebase-Messaging.js và firebase-Messaging-sw.js là hợp pháp: Từ chối Chúng thuộc nền tảng Firebase và được sử dụng để gửi số liệu thống kê đến tài khoản Firebase của diễn viên độc hại

Xen kẽ với đó là các tập lệnh bss.js và extab.js độc hại, bị che khuất với sự trợ giúp của công cụ obfuscator.io.

Trước đây, người gửi số liệu thống kê đến tài khoản Firebase; cái sau (extab.js) chèn một lệnh gọi tới tập lệnh i.js với tham số tag = & did = & v_tag = & k_tag = vào mỗi trang được người dùng truy cập, theo báo cáo. Tập lệnh i.js này sửa đổi trang HTML, chèn các biểu ngữ quảng cáo và video clip giả mạo và thêm quảng cáo lừa đảo vào kết quả tìm kiếm của Google.

Tuy nhiên, yếu tố chính của sự lây nhiễm là mã main.js đã nói ở trên – một cuộc gọi đến tập lệnh được thêm bởi phần mở rộng cho mỗi trang mà người dùng truy cập.

(Theo threatpost)

 

bình luận

Leave a Comment