Ergebnis 1 bis 4 von 4

Thema: Razy-Trojaner infiziert Browser und Extensions

  1. #1
    in Schwarz

    Moderator

    Avatar von LadyRavenous
    Registriert seit
    Dec 2016
    Ort
    hello world
    Beiträge
    2.420
    ngb:news Artikel
    69

    Razy-Trojaner infiziert Browser und Extensions

    Klicke auf die Grafik für eine größere Ansicht 

Name:	office-625893_960_720.jpg 
Hits:	13 
Größe:	130,9 KB 
ID:	53358

    Kaspersky Lab [1] hat Malware entdeckt, die eine bösartige Browser-Erweiterung auf dem PC des Opfers installiert oder direkt eine installierte Erweiterung infiziert. Um dies zu erreichen, deaktiviert die Malware den Integritätscheck, der für die Installation von Erweiterungen und Updates getriggert wird. Kaspersky Lab hat die Malware Trojan.Win32.Razy.gen genannt, eine ausführbare Datei, die sich über Werbung auf Websites und unter File-Hosting Services als legitime Software verbreitet.

    Die Hauptdatei main.js hat folgende Möglichkeiten:

    • Klau von Kryptowährung, nachdem Wallets durchsucht worden sind
    • Spoofing von QR Codes für Wallets
    • Modifizieren von Websites für Exchange von Kryptowährung
    • Spoofing von Suchergebnissen bei Google und Yandex


    Je nach verwendetem Browser, verwendet der Trojaner unterschiedliche Infektionswege. Bei Mozilla installiert er die Erweiterung Firefox Protection mit der ID {ab10d63e-3096-4492-ab0e-5edcf4baf988}. Beim Yandex Browser editiert der Trojaner die Datei %APPDATA%\Yandex\YandexBrowser\Application\\browser.dll, um den Integritätscheck zu deaktivieren. Bei Chrome ist es die Datei %PROGRAMFILES%\Google\Chrome\Application\\chrome.dll. Bei Chrome werden anschließend verschiedene RegKeys registriert, um Browser Updates auszuschalten. Unter Chrome wurden auch Erweiterungen infiziert.

    One extension, in particular, is worth mentioning: Chrome Media Router is a component of the service with the same name in browsers based on Chromium. It is present on all devices where the Chrome browser is installed, although it is not shown in the list of installed extensions.
    Egal welcher Browser verwendet wird, fügt Razy die folgenden Skripte hinzu: bgs.js, extab.js, firebase-app.js, firebase-messaging.js und firebase-messaging-sw.js. Mehr Informationen zum weiteren Vorgehen finden sich unter [1].


    [1] https://securelist.com/razy-in-searc...urrency/89485/
    "Das Internet? Gibts diesen Blödsinn immer noch?"
    Homer Simpson, Sicherheitsinspektor im Kernkraftwerk Springfield

    Hasenbraten-Rezepte

  2. #2
    Vereinsheimer Avatar von Laui
    Registriert seit
    Jul 2013
    Beiträge
    4.376
    ngb:news Artikel
    2

    Re: Razy-Trojaner infiziert Browser und Extensions

    Und wo und was und wie fange ich mir das ein? Welche Internetseite?
    aka Steev

  3. #3
    in Schwarz

    Moderator

    (Threadstarter)

    Avatar von LadyRavenous
    Registriert seit
    Dec 2016
    Ort
    hello world
    Beiträge
    2.420
    ngb:news Artikel
    69

    Re: Razy-Trojaner infiziert Browser und Extensions

    @Laui: Laut [1]

    Malicious domains
    gigafilesnote[.]com
    apiscr[.]com,
    happybizpromo[.]com,
    archivepoisk-zone[.]info,
    archivepoisk[.]info,
    nolkbacteria[.]info,
    2searea0[.]info,
    touristsila1[.]info,
    touristsworl[.]xyz,
    solkoptions[.]host.
    solkoptions[.]site
    mirnorea11[.]xyz,
    miroreal[.]xyz,
    anhubnew[.]info,
    kidpassave[.]xyz

    Phishing domains
    ton-ico[.]network,
    ooo-ooo[.]info.

    Die Angabe kann sich - es ist ja Malware - immer ändern...
    "Das Internet? Gibts diesen Blödsinn immer noch?"
    Homer Simpson, Sicherheitsinspektor im Kernkraftwerk Springfield

    Hasenbraten-Rezepte

  4. #4
    Vereinsheimer Avatar von Laui
    Registriert seit
    Jul 2013
    Beiträge
    4.376
    ngb:news Artikel
    2

    Re: Razy-Trojaner infiziert Browser und Extensions

    Avast meckert nicht?

    Was sind das für Seiten? Porno?
    aka Steev

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •