Σύμφωνα με μία νέα έρευνα από το ίδρυμα κυβερνοασφάλειας «Kaspersky» βρέθηκε πως ένα malware πρόγραμμα που ονομάζεται «Razy» μολύνει τις επεκτάσεις του browser και εξαπατά τα αποτελέσματα αναζήτησης, με μοναδικό σκοπό την κλοπή της κρυπτογράφησής σας.
Πολλές φορές οι χρήστες έχουν αναρωτηθεί πως είναι δυνατό να εμφανίζονται διαφημίσεις στους browsers, οι οποίες οδηγούν σε pop up πορνογραφία. Ο λόγος πίσω από αυτό είναι επειδή οι επεκτάσεις του browser έχουν μολυνθεί με malware πρόγραμμα που αναζητά να κλέψει την κρυπτογράφηση. Σύμφωνα λοιπόν με την πρόσφατη μελέτη στο Kaspersky, το malware πρόγραμμα «Razy» επιχειρεί να κλέψει την κρυπτογράφηση του χρήστη.
Πώς το Razy μπορεί να κλέψει την κρυπτογράφησή σας;
Ας δούμε σε πρώτο στάδιο με ποιον τρόπο κλέβεται η κρυπτογράφηση. Ειδικότερα, ο τρόπος κλοπής εξαρτάται από τον τρόπο και το μέρος που έχει αποθηκεύσει ο χρήστης την κρυπτογράφηση. Η κρυπτογράφηση αποτελείται από αξίες που αποθηκεύονται στο blockchain κάτω από διαφορετικές διευθύνσεις. Κάποιος μπορεί να ανταλλάξει αυτές τις αξίες μεταξύ διαφορετικών διευθύνσεων, χρησιμοποιώντας το ιδιωτικό κλειδί της κάθε διεύθυνσης. Αν μία διεύθυνση και το ιδιωτικό κλειδί αποθηκευτούν κάπου, τότε η τοποθεσία λέγεται wallet. Όπως και στον υλικό κόσμο έχουμε το πορτοφόλι με τα χρήματα και τις κάρτες, οι ίδιοι είμαστε υπεύθυνοι για το περιεχόμενό του. Αν κάποιος το κλέψει, τότε τα λεφτά θα χαθούν για πάντα. Με τον ίδιο τρόπο και στον υπολογιστή, όταν ένα malware πρόγραμμα ψάχνει για cryptocurrency wallets σε websites, προσπαθεί να τα αντικαταστήσει με τις διευθύνσεις του ατόμου που απειλεί. Να επισημανθεί πως μέχρι στιγμής, το κακόβουλο πρόγραμμα «Trojan.Win32.Razy.gen» μπορεί να δουλέψει σε Google Chrome, Mozilla Firefox και Yandex browser.
Όσον αφορά το Firefox, το Razy εγκαθιστά μία επέκταση που ονομάζεται «Firefox Protection». Στο Yandex, το Razy επεξεργάζεται ένα αρχείο για να απενεργοποιήσει τον έλεγχο ασφαλείας στον browser και δημιουργεί ένα registry κλειδί για να απενεργοποιήσει τις αναβαθμίσεις ασφαλείας. Στη συνέχεια, εγκαθιστά μία κακόβουλη επέκταση που λέγεται Yandex Protect και με τον ίδιο τρόπο στο Google Chrome, επεξεργάζεται αρχεία, απενεργοποιεί τον έλεγχο ασφαλείας και μολύνει την υπάρχουσα επέκταση. Επιπλέον, το «Main.js» ανιχνεύει και επεξεργάζεται τα αποτελέσματα Google και Yandex και εμφανίζονται ψεύτικα αποτελέσματα σε σελίδες αν το αίτημα αναζήτησης συνδέεται με ανταλλαγές κρυπτογραφήσεων ή απλώς με λήψεις μουσικής ή torrents. Αυτός λοιπόν είναι ο τρόπος, βάσει του οποίου οι χρήστες προσελκύονται να επισκέπτονται μολυσμένους ιστότοπους με ψεύτικα μηνύματα.
Σύμφωνα με το Kaspersky report, οι κώδικες του Razy δείχνουν ψεύτικα μηνύματα στον χρήστη που εμφανίζονται ως νέα χαρακτηριστικά στις ανταλλαγές κρυπτογραφήσεων και στη συνέχεια προσφέρει την πώληση κρυπτογράφησης σε συγκεκριμένους αριθμούς. Με πιο απλά λόγια, οι users πείθονται να μεταφέρουν τα χρήματά τους στο πορτοφόλι του εγκληματία κάτω από το πρόσχημα μίας καλής συμφωνίας.
