Kaspersky Lab [1] hat Malware entdeckt, die eine bösartige Browser-Erweiterung auf dem PC des Opfers installiert oder direkt eine installierte Erweiterung infiziert. Um dies zu erreichen, deaktiviert die Malware den Integritätscheck, der für die Installation von Erweiterungen und Updates getriggert wird. Kaspersky Lab hat die Malware Trojan.Win32.Razy.gen genannt, eine ausführbare Datei, die sich über Werbung auf Websites und unter File-Hosting Services als legitime Software verbreitet.
Die Hauptdatei main.js hat folgende Möglichkeiten:
- Klau von Kryptowährung, nachdem Wallets durchsucht worden sind
- Spoofing von QR Codes für Wallets
- Modifizieren von Websites für Exchange von Kryptowährung
- Spoofing von Suchergebnissen bei Google und Yandex
Je nach verwendetem Browser, verwendet der Trojaner unterschiedliche Infektionswege. Bei Mozilla installiert er die Erweiterung Firefox Protection mit der ID {ab10d63e-3096-4492-ab0e-5edcf4baf988}. Beim Yandex Browser editiert der Trojaner die Datei %APPDATA%\Yandex\YandexBrowser\Application\\browser.dll, um den Integritätscheck zu deaktivieren. Bei Chrome ist es die Datei %PROGRAMFILES%\Google\Chrome\Application\\chrome.dll. Bei Chrome werden anschließend verschiedene RegKeys registriert, um Browser Updates auszuschalten. Unter Chrome wurden auch Erweiterungen infiziert.
One extension, in particular, is worth mentioning: Chrome Media Router is a component of the service with the same name in browsers based on Chromium. It is present on all devices where the Chrome browser is installed, although it is not shown in the list of installed extensions.
Egal welcher Browser verwendet wird, fügt Razy die folgenden Skripte hinzu: bgs.js, extab.js, firebase-app.js, firebase-messaging.js und firebase-messaging-sw.js. Mehr Informationen zum weiteren Vorgehen finden sich unter [1].
[1] https://securelist.com/razy-in-search-of-cryptocurrency/89485/