欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

Razy恶意软件攻击浏览器扩展,窃取加密货币

来源:本站整理 作者:佚名 时间:2019-02-01 TAG: 我要投稿

Kaspersky研究人员在2018年发现一个在受害者计算机中安装恶意浏览器扩展或感染已安装的扩展的恶意软件。恶意软件可以关闭已安装的扩展的完整性检查,并为目标浏览器自动更新。Kaspersky安全产品检测到该恶意软件为Razy,通过恶意广告拦截模块进行传播,并伪装成合法软件在免费文件主机服务上进行分发。
Razy的目的有很多,主要是与窃取加密货币相关。其主要工具是main.js脚本,可以:
· 搜索网站上的加密货币钱包的地址,并将其替换为攻击者的钱包地址;
· 伪造指向钱包的二维码图片;
· 修改加密货币交易页面;
· 欺骗Google和Yandex搜索结构。
感染
Razy木马工作在Google Chrome, Mozilla Firefox和Yandex浏览器上,对不同的浏览器有不同的感染场景。
Mozilla Firefox
对Firefox,Razy会安装一个名为Firefox Protection的扩展,ID为{ab10d63e-3096-4492-ab0e-5edcf4baf988} (文件夹路径为:
“%APPDATA%\Mozilla\Firefox\Profiles\.default\Extensions\{ab10d63e-3096-4492-ab0e-5edcf4baf988}”)。
恶意扩展开始工作后, Razy会编辑以下文件:
·  “%APPDATA%\Mozilla\Firefox\Profiles\.default\prefs.js”,
· “%APPDATA%\Mozilla\Firefox\Profiles\.default\extensions.json”,
· “%PROGRAMFILES%\Mozilla Firefox\omni.js”.
Yandex 浏览器
木马会编辑%APPDATA%\Yandex\YandexBrowser\Application\\browser.dll来关闭扩展的完整性检查。然后重命名原始文件为browser.dll_,然后将其放在同一文件夹内。
木马会创建注册表‘HKEY_LOCAL_MACHINE\SOFTWARE\Policies\YandexBrowser\UpdateAllowed” = 0 (REG_DWORD)来关闭浏览器更新。
然后,安装扩展Yandex Protect到文件夹%APPDATA%\Yandex\YandexBrowser\User Data\Default\Extensions\acgimceffoceigocablmjdpebeodphgc\6.1.6_0。ID acgimceffoceigocablmjdpebeodphgc对应的合法扩展为Cloudy Calculator, 版本号为6.1.6_0。如果Yandex浏览器已经安装了该扩展,就会被替换为恶意的Yandex Protect。
Google Chrome
Razy会编辑文件%PROGRAMFILES%\Google\Chrome\Application\\chrome.dll来关闭扩展的完整性检查。然后将原来的chrome.dll文件重命名为chrome.dll_。
然后创建以下注册表来关闭浏览器更新:
“HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Update\AutoUpdateCheckPeriodMinutes” = 0 (REG_DWORD)
“HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Update\DisableAutoUpdateChecksCheckboxValue” = 1 (REG_DWORD)
“HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Update\InstallDefault” = 0 (REG_DWORD)
“HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Google\Update\UpdateDefault” = 0 (REG_DWORD)
研究人员遇到很多种不同的Chrome扩展被感染的情况。其中一个是Chrome Media Router,Chrome Media Router是基于Chromium的浏览器的服务的组件。在所有的Chrome浏览器中都安装了,但是在已安装扩展中没有显示。在感染过程中,Razy会修改Chrome Media Router扩展所在的文件夹的内容:
‘%userprofile%\AppData\Local\Google\Chrome\User Data\Default\Extensions\pkedcjkdefgpdelpbcmbmeomcjbeemfm’.
使用的脚本
无论是哪种目标浏览器类型,Razy会添加下面的脚本到含有恶意脚本的文件夹中:bgs.js, extab.js, firebase-app.js, firebase-messaging.js和firebase-messaging-sw.js。在同一文件夹中创建或覆写文件manifest.json来确保这些脚本得到调用。
 

原始Chrome Media Router扩展(左)和修改后的Chrome Media Router扩展(右)
脚本firebase-app.js, firebase-messaging.js和firebase-messaging-sw.js都是合法文件。属于Firebase平台,用来发送统计数据到恶意攻击者的Firebase账号。
脚本bgs.js和extab.js都是恶意文件,使用工具obfuscator.io进行了混淆。第一个脚本会发送统计数据到Firebase账号,第二个脚本会在脚本 i.js的调用中加入参数
tag=&did=&v_tag=&k_tag=。
脚本 i.js会修改HTML页面,插入广告和视频片段,以及Google的搜索结果。

i.js 在YouTube页面加入的广告
感染主要是通过main.js完成的,对脚本的调用会加入到用户访问的每个页面中。
 

插入脚本main.js到web页面的i.js代码片段
Main.js脚本通过以下地址进行传播:
· Nolkbacteria[.]info/js/main.js?_=
· 2searea0[.]info/js/main.js?_=
· touristsila1[.]info/js/main.js?_=
· solkoptions[.]host/js/main.js?_=
脚本main.js是不混淆的,其功能可以从函数名中看出:
 

上图是函数findAndReplaceWalletAddresses的代码,可以看出其功能是搜索Bitcoin和Ethereum钱包,并用攻击者的钱包地址进行替换。该函数在除了Google和yandex域名外的其他几乎所有页面都可以工作,甚至包括 instagram.com和ok.ru。
指向钱包地址的二维码也可能会被替换。当用户访问web页gdax.com, pro.coinbase.com, exmo.*, binance.* 或页面中含有src=’/res/exchangebox/qrcode/’元素时,就会发生替换。

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载