警惕木馬Razy專門感染瀏覽器惡意竊取加密貨幣病毒分析
作者:佚名 來源:互聯網 2021-06-16 16:51:27
警惕木馬Razy專門感染瀏覽器惡意竊取加密貨幣病毒分析,哪吒游戲網給大家帶來詳細的警惕木馬Razy專門感染瀏覽器惡意竊取加密貨幣病毒分析介紹,大家可以閱讀一下,希望這篇警惕木馬Razy專門感染瀏覽器惡意竊取加密貨幣病毒分析可以給你帶來參考價值。
警惕木馬Razy專門感染瀏覽器惡意竊取加密貨幣病毒分析,現在虛擬貨幣的市場依舊很火爆,尤其是比特幣漲到了4萬美元,簡直是嚇人啊。今天看到一篇針對瀏覽器擴展攻擊的病毒razy,分享給大家razy木馬的分析知識,大家可以防范一下。根據研究,這種名為Razy的惡意軟件是一種特洛伊木馬,全名為Trojan.Win32.Razy.gen,是一個可執行文件,主要通過網站上的惡意廣告傳播,偽裝成合法軟件。打包并分發到文件托管平臺。
Razy專注于打破瀏覽器,包括谷歌瀏覽器,Mozilla Firefox和Yandex,它的工作方式因瀏覽器而異。
除了能夠自行安裝惡意瀏覽器擴展之外,Razy還可以逃避瀏覽器擴展檢查并關閉瀏覽器自動更新,感染已安裝在瀏覽器中的合法擴展。
Razy有多種用途,其主要與竊取加密貨幣有關。 它的主要工具是腳本main.js,它具有以下功能:
- 在網站上搜索貨幣錢包的地址,并用攻擊者的錢包地址進行替換
- 欺騙QR碼,并將其圖像指向錢包
- 修改用于交換加密貨幣的網頁
- 欺騙Google和Yandex的搜索結果
感染詳情
Trojan Razy與Google Chrome,Mozilla Firefox和Yandex瀏覽器雖然是相互“兼容”的,但每種瀏覽器類型都有不同的入侵方案。
Mozilla Firefox
對于Firefox,木馬會安裝名為“Firefox Protection”的擴展程序,其ID為{ab10d63e-3096-4492-ab0e-5edcf4baf988}
(文件夾路徑為: “%APPDATA%\Mozilla\Firefox\Profiles\.default\Extensions\{ab10d63e-3096-4492-ab0e-5edcf4baf988}”
)。
為了能夠使惡意代碼正常運行,Razy對以下文件進行了操作:
- “%APPDATA%\Mozilla\Firefox\Profiles.default\prefs.js”,
- “%APPDATA%\Mozilla\Firefox\Profiles.default\extensions.json”,
- “%PROGRAMFILES%\Mozilla Firefox\omni.js”.
Yandex瀏覽器
木馬對文件%APPDATA%\Yandex\YandexBrowser\Application\\browser.dll
進行操作用以進制瀏覽器的完整性檢查。 它重命名文件browser.dll_
并將其保留在同一文件夾中。
之后軟件會禁用瀏覽器更新,并創建注冊表項HKEY_LOCAL_MACHINE\SOFTWARE\Policies\YandexBrowser\UpdateAllowed” = 0 (REG_DWORD)
。
然后將擴展名Yandex Protect
安裝到文件夾%APPDATA%\Yandex\YandexBrowser\User Data\Default\Extensions\acgimceffoceigocablmjdpebeodphgc\6.1.6_0
中。 ID 為acgimceffoceigocablmjdpebeodphgc
對應于Chrome的合法擴展名Cloudy Calculator
,其版本為6.1.6_0。 如果此擴展程序已安裝在Yandex瀏覽器中的用戶設備上,則會被惡意Yandex Protect
替換。
谷歌瀏覽器
Razy編輯文件%PROGRAMFILES%\Google\Chrome\Application\\chrome.dll
以禁用擴展程序的完整性檢查。 它重命名原始chrome.dll
文件為chrome.dll_
并將其保留在同一文件夾中。
它會創建以下注冊表項以禁用瀏覽器的更新操作:
- “HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Update\AutoUpdateCheckPeriodMinutes” = 0 (REG_DWORD)
- “HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Update\DisableAutoUpdateChecksCheckboxValue” = 1 (REG_DWORD)
- “HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Update\InstallDefault” = 0 (REG_DWORD)
- “HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Update\UpdateDefault” = 0 (REG_DWORD)
我們遇到過感染了不同Chrome擴展程序的情況。 尤其是:Chrome Media Router
是基于Chromium
瀏覽器中具有相同名稱的服務組件。 它在安裝了Chrome瀏覽器的設備上出現,但缺未顯示在已安裝的擴展程序列表中。 在感染期間,Razy修改了Chrome Media路由器
擴展程序所在文件夾的內容:%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm
。
腳本詳情
無論目標瀏覽器是何類型,Razy都將以下腳本添加到包含惡意腳本的文件夾中:bgs.js,extab.js,firebase-app.js,firebase-messaging.js和firebase-messaging-sw.js
。 manifest.json文件是在此文件夾中創建或被覆蓋以確保惡意軟件能夠調用這些腳本。
腳本firebase-app.js,firebase-messaging.js和firebase-messaging-sw.js
是合法的。 它們屬于Firebase,而此平臺用于向惡意玩家的Firebase帳戶發送統計信息。
腳本bgs.js和extab.js
是惡意的,并在工具obfuscator.io
的幫助下進行模糊處理。 前者將統計信息發送到Firebase帳戶,而后者(extab.js)將參數tag =&did =&v_tag =&k_tag =
的腳本i.js
插入到用戶訪問的頁面中。
在上面的示例中,腳本i.js是從Web資源gigafilesnote [.] com(gigafilesnote [.] com/i.js?tag =&did =&v_tag =&k_tag =)
處分發的。 在其他情況下,在域apiscr [.] com,happybizpromo [.] com和archivepoisk-zone [.] info
中同樣能夠檢測到類似的腳本。
腳本i.js會修改HTML頁面,之后插入廣告和視頻,并將廣告添加到Google搜索結果中。
感染的主要手段是調用main.js
對用戶訪問的頁面添加了對腳本的調用。
主而這個腳本主要被分成一下四個地址:
- Nolkbacteria[.]info/js/main.js?_=
- 2searea0[.]info/js/main.js?_=
- touristsila1[.]info/js/main.js?_=
- solkoptions[.]host/js/main.js?_=
腳本main.js不會被混淆,并且可以從函數名稱中看到它的功能。
上面的屏幕截圖顯示了函數findAndReplaceWalletAddresses
的情況,它搜索比特幣和以太坊錢包,并用攻擊者錢包的地址替換它們。 值得注意的是,此功能幾乎適用于除Google和Yandex域名以外的所有頁面,以及instagram.com和ok.ru
等熱門域名。
指向錢包的QR碼圖像也會被替換。 當用戶訪問網站資源gdax.com,pro.coinbase.com,exmo。*,binance。*
或在網頁上檢測到具有src ='/res/exchangebox/qrcode /'
的元素時,會發生替換操作。
除了上述功能外,main.js還修改了加密貨幣交易所EXMO和YoBit的網頁。 以下腳本調用將被添加到頁面代碼中:
- /js/exmo-futures.js?_= – when exmo./ru/ pages are visited
- /js/yobit-futures.js?_= – when yobit./ru/ pages are visited
其中一個域是where is one of the domains nolkbacteria[.]info, 2searea0[.]info, touristsila1[.]info,或者archivepoisk-zone[.]info.
這些腳本會向用戶顯示一些關于交易所中與“新功能”相關的假消息,并提供以高于市場價格銷售加密貨幣的消息。 換句話說,用戶被說服將錢轉移到攻擊者的錢包中。
Main.js
還修改了Google和Yandex
搜索結果。 如果搜索請求與加密貨幣和加密貨幣交換相關聯,則會將偽造的搜索結果添加到頁面中:
- /(?:^|\s)(gram|телеграм|токен|ton|ico|telegram|btc|биткойн|bitcoin|coinbase|крипта|криптовалюта|,bnrjqy|биржа|бираж)(?:\s|$)/g;
- /(скачать.музык|музык.скачать)/g;
- /тор?рент/g;
這就是受感染用戶被誘導訪問受感染網站或以加密貨幣為主題的合法網站的方式,他們將在這些網站上看到上述消息。
當用戶訪問維基百科時,main.js會添加一個包含捐贈請求的內容,以支持在線百科全書。 網絡犯罪分子的錢包地址用于代替銀行詳細信息。而原始的捐贈信息將被刪除。
當用戶訪問網頁telegram.org時,他們會看到可以用極低的價格購買Telegram的token。
當用戶訪問俄羅斯社交網絡Vkontakte(VK)
的頁面時,該木馬會為其添加廣告內容。 如果用戶點擊橫幅廣告,他們會被重定向到網上誘騙資源(位于域名ooo-ooo [.]
信息中),系統會提示他們現在支付一小筆錢以便以后賺取大量資金。
IOCs
卡巴斯基實驗室的產品檢測Razy相關的腳本為HEUR:Trojan.Script.Generic
。
以下是分析腳本中檢測到的所有錢包地址:
- Bitcoin: ‘1BcJZis6Hu2a7mkcrKxRYxXmz6fMpsAN3L’, ‘1CZVki6tqgu2t4ACk84voVpnGpQZMAVzWq’, ‘3KgyGrCiMRpXTihZWY1yZiXnL46KUBzMEY’, ‘1DgjRqs9SwhyuKe8KSMkE1Jjrs59VZhNyj’, ’35muZpFLAQcxjDFDsMrSVPc8WbTxw3TTMC’, ’34pzTteax2EGvrjw3wNMxaPi6misyaWLeJ’.
- Ethereum: ’33a7305aE6B77f3810364e89821E9B22e6a22d43′, ‘2571B96E2d75b7EC617Fdd83b9e85370E833b3b1′, ’78f7cb5D4750557656f5220A86Bc4FD2C85Ed9a3’.
在撰寫本文時,這些錢包的交易總額約為0.14 BTC加25 ETH。
MD5
Trojan.Win32.Razy.gen
707CA7A72056E397CA9627948125567A
2C274560900BA355EE9B5D35ABC30EF6
BAC320AC63BD289D601441792108A90C
90A83F3B63007D664E6231AA3BC6BD72
66DA07F84661FCB5E659E746B2D7FCCD
Main.js
2C95C42C455C3F6F3BD4DC0853D4CC00
2C22FED85DDA6907EE8A39DD12A230CF
i.js
387CADA4171E705674B9D9B5BF0A859C
67D6CB79955488B709D277DD0B76E6D3
Extab.js
60CB973675C57BDD6B5C5D46EF372475
Bgs.js
F9EF0D18B04DC9E2F9BA07495AE1189C
惡意域名
gigafilesnote[.]com
apiscr[.]com,
happybizpromo[.]com,
archivepoisk-zone[.]info,
archivepoisk[.]info,
nolkbacteria[.]info,
2searea0[.]info,
touristsila1[.]info,
touristsworl[.]xyz,
solkoptions[.]host.
solkoptions[.]site
mirnorea11[.]xyz,
miroreal[.]xyz,
anhubnew[.]info,
kidpassave[.]xyz
釣魚域名
ton-ico[.]network,
ooo-ooo[.]info.
總結:以上內容就是針對警惕木馬Razy專門感染瀏覽器惡意竊取加密貨幣病毒分析詳細闡釋,如果您覺得有更好的建議可以提供給哪吒游戲網小編,警惕木馬Razy專門感染瀏覽器惡意竊取加密貨幣病毒分析部分內容轉載自互聯網,有幫助可以收藏一下。
上一篇: 三國殺手機單機版安卓破解版無需聯網下載
下一篇: 返回列表