«Лаборатория Касперского» сообщила о выявлении вируса Razу (Trojan.Win32.Razy.gen), который устанавливает на ПК жертвы вредоносные браузерные расширения для кражи криптовалют и подмены страниц криптобирж.
Razy представляет собой довольно серьезную угрозу для владельцев криптовалюты. Основным его инструментом является скрипт main.js, который способен:
- Находить на сайтах адреса криптовалютных кошельков, заменив их на адреса кошельков злоумышленника
- Подменять изображения QR-кодов кошельков
- Изменять страницы криптовалютных бирж
Вредонос Razy распространяется под видом легитимного ПО и заражает таким образом браузеры Google Chrome, Mozilla Firefox и «Яндекс.Браузер»
После установки, Razy ведет постоянный поиск адресов биткойн- и эфириум-кошельков на всех посещаемых веб-страницах и заменяет их на адреса кошельков злоумышленника. Примечательно, что данная функция срабатывает практически на всех страницах, за исключением расположенных на доменах Google и «Яндекс», а также на популярных доменах instagram.com, ok.ru и др.
Кроме того троян подменяет QR-коды всех встречающихся кошельков. Подмена изображения с зашифрованным адресом происходит даже при посещении таких известных ресурсов как GDAX, Coinbase, Exmo и Binance.
Помимо описанного функционала, основной вирусный скрипт main.js умеет видоизменять страницы криптовалютных бирж EXMO и YoBit.
Так, при посещении страницы данных бирж, зараженный пользователь видит поддельные сообщения с предложением продать свою криптовалюту по цене гораздо выше рыночной. В реальности, пользователя убеждают перевести деньги на кошелек злоумышленника под предлогом выгодной сделки.
Main.js также подменяет поисковые списки выдачи «Яндекс» и Google и заманивает пользователей на мошеннические криптовалютные сайты.
При посещении сайта telegram.org жертв вируса также ожидает предложение «купить токены Telegram по невероятно выгодной цене».
Будьте бдительны и проводите профилактику вирусных заболеваний ПК.
Напомним, недавно исследователи нашли новый вирус, который мимикрирует под торрент-файл фильма с сайта The Pirate Bay. Вредоносная программа может управлять выдачей браузерных поисковиков и подменять адреса криптовалютных кошельков адресами хакеров в процессе перевода средств.
Подписывайтесь на Bitnovosti в telegram!
Делитесь вашим мнением об этой новости в комментариях ниже.
Источник