Razy, un malware Windows que ataca a extensiones de navegador
- Endpoint
El malware cuenta con una gran cantidad de trucos para convencer a los internautas de que paguen por servicios falsos, y también puede robar criptomonedas, todo a través de una extensión de navegador maliciosa. Ataca a usuarios de Google Chrome, Mozilla Firefox y Yandex.
|
También puedes leer... Cómo evaluar las opciones de SD-WAN Gestión de cuentas con privilegios para Dummies |
Se ha descubierto un malware Windows denominado Razy, que presenta una caja de herramientas de robo y fraude de criptomonedas. Razy trabaja atacando extensiones de navegador para perpetrar una serie de estafas online en víctimas involuntarias.
Según investigadores de Kaspersky Lab, el troyano se dirige a los usuarios de los navegadores Google Chrome, Mozilla Firefox y Yandex. Es un archivo ejecutable que se propaga de dos maneras: a través de anuncios maliciosos online o haciéndose pasar por software gratuito legítimo disponible en los servicios de alojamiento de archivos. Una vez descargado y ejecutado, Razy deshabilita la verificación de integridad para las extensiones de navegador instaladas en el ordenador de la víctima, y bloquea las actualizaciones automáticas para el navegador seleccionado. Luego, instala una extensión de navegador maliciosa.
Los actores de amenazas que hay detrás de Razy son unos artistas del fraude. El malware cuenta con una gran cantidad de trucos para convencer a los internautas de que paguen por servicios falsos, y también puede robar criptomonedas. Por ejemplo, puede buscar direcciones de las billeteras de criptomonedas de la víctima en sitios web y reemplazarlos con los detalles de la billetera del atacante. La función llamada "findAndReplaceWalletAddresses" busca específicamente las billeteras de Bitcoin y Ethereum que la víctima podría usar. El malware rastrea las páginas web visitadas, incluidos los sitios de redes sociales como Instagram y el sitio en idioma ruso OK.RU, pero no funciona en las páginas ubicadas en los dominios de Google y Yandex.
Razy también muestra anuncios maliciosos en sitios populares a usuarios infectados. Cuando el usuario visita Wikipedia, por ejemplo, agrega un banner que contiene una solicitud de donaciones para apoyar la enciclopedia online. Del mismo modo, cuando el usuario visite Telegram.org verá una oferta para comprar tokens de Telegram a un precio increíblemente bajo, y las compras irán directamente a los ciberdelincuentes. Y cuando los usuarios visitan las páginas de la red social rusa Vkontakte (VK), el troyano agrega un banner publicitario que redirige a los usuarios a un sitio fraudulento donde se les pide que paguen una pequeña suma de dinero ahora para hacer una carga de dinero más adelante, según el análisis.
