TROYANO RAZY: Instala extensiones maliciosas en Chrome y Firefox, envia enlaces phishing y roba criptomonedas

Si utilizas un navegador diferente al predeterminado por el sistema operativo, lo más probable es que conozcas las extensiones y que, de hecho, uses unas cuantas. Y sabrás que algunas pueden ser peligrosas y que, por tanto, deberías instalarlas únicamente desde fuentes oficiales.

El problema es que los complementos maliciosos se pueden instalar sin que el usuario sea consciente y tambiém ser instaladas por cualquier aplicación.

El troyano Razy instala en secreto extensiones maliciosas en Chrome y Firefox para enviar enlaces phishing y robar criptomonedas

Cómo instala Razy las extensiones maliciosas

El principal sospechoso es el troyano Razy, que actualiza Google Chrome, Mozilla Firefox y el navegador Yandex (todos para Windows) con sus propios complementos. Básicamente, el malware inhabilita el análisis de extensiones instalado, bloquea las actualizaciones del navegador e instala sus complementos maliciosos: Firefox recibe la extensión Firefox Protection y Yandex Browser, Yandex Protect.

Incluso los nombres son engañosos, su repentina aparición debería de llamar tu atención. En Google Chrome es especialmente peligroso: Razy puede infectar la extensión de sistema Chrome Media Router, que no aparece en la lista general de los complementos del navegador y que, sin software de seguridad, solo se puede detectar de forma indirecta.

Qué sucede tras la infección

Esta situación es un ejemplo típico de ataque man-in-the-browser. Las extensiones maliciosas ajustan el contenido del sitio web a la voluntad de los creadores. En el caso de Razy, los propietarios de las criptomonedas son los que más tienen que temer. La extensión tiene como objetivo los sitios de intercambio de criptomonedas y las adornan con banners con ofertas “lucrativas” de compra y venta de criptomonedas, pero, en realidad, los usuarios que muerden el anzuelo acaban enriqueciendo a los cibercriminales.

El troyano Razy muestra ofertas falsas en los sitios de intercambio de criptomonedas

Además, la extensión espía las búsquedas de los usuarios en Google o Yandex y, si una trata sobre criptomonedas, introduce enlaces a sitios phishing en la página de resultados.

El troyano Razy añade enlaces phishing, muchos, a los resultados de la búsqueda

Resultados de Razy: la extensión maliciosa añade los 5 primeros enlaces de los resultados de búsqueda que dirigen a sitios phishing

Otra forma de “redistribuir” monedas es remplazar todas las direcciones de monederos (o códigos QR) de una página web por las direcciones de los ciberdelincuentes.

Los usuarios de navegadores infectados también tienen que lidiar con banners (por ejemplo, en Vkontakte o Youtube) con ofertas tan generosas como: “Invierte ahora y gana millones” o “Recibe dinero por una encuesta online” entre otras. La guinda del pastel es un banner falso en las páginas de Wikipedia que solicita a los usuarios que apoyen el proyecto.

Cómo protegerte contra Razy

El troyano Razy se distribuye a través de programas afiliados como un software útil y se puede descargar desde varios servicios de alojamiento de archivos gratuitos, por lo que nuestros consejos para protegerte son muy simples:

Descargar las aplicaciones exclusivamente del sitio del desarrollador o de fuentes de confianza.

Analizar el ordenador de inmediato si te percatas de cualquier actividad sospechosa (como, por ejemplo, la aparición de herramientas de optimización desconocidas) que podría indicar que has sido infectado con malware.

Comprobar los complementos del navegador que aparezcan de la nada y desactiva los que parezcan sospechosos.

Y utilizar una solución antivirus de confianza.

 

El preanalisis de virustotal ofrece el siguiente informe:>

 

Ver información original al respecto en Fuente:>

__________

NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________

Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.

Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.

Los comentarios están cerrados.

 

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies