擴充插件變身加密貨幣大盜 Razy木馬程式針對視窗常見瀏覽器

使用 Windows 的用戶很多人都選擇使用第三方的瀏覽器,如果你是其中的一份子就要特別留意,一款名為 Razy 的木馬程式專門針對三款 Windows 常見的瀏覽器,透過擴充插件形式影響用戶正常上網,目標是盜取用戶的加密貨幣。

關閉擴充插件掃瞄與瀏覽器更新
成為 Razy 攻擊目標的三款 Windows 瀏覽器包括Google Chrome、Mozilla Firefox 和 Yandex Browser,當惡意程式成功被安裝之後,首先會關閉掃瞄擴充插件和封鎖瀏覽器的更新,然後便會開始安裝其他惡意的元件,FireFox 會接收到 FireFox Protection,Yandex 瀏覽器則是 Yandex Protection。即使名字上企圖瞞騙用戶,但是看到時也容易令人提高警覺,相比之下,Google Chrome 就特別危險,因為 Razy 感染的 Chrome Media Router 系統擴充,並不會顯示在一般的瀏覽器插件清單,如果沒有防毒軟件只能間接偵測到。

「瀏覽器中間人」攻擊
當 Razy 成功攻佔瀏覽器後,便會上演耳熟能詳的「瀏覽器中間人」攻擊,惡意擴充插件會依照創造者的意願改變網站內容,其中主要針對持有加密貨幣的用戶,Razy 瞄準加密貨幣交易網站,改變當中的橫幅顯示,展示極具吸引力的訊息引誘用戶進行加密貨幣買賣,如果用戶「吃」下這些誘餌就會白白把加密貨幣送給黑客,並不會為自己帶來任何利益。

除此之外,Razy 還為監視用戶在 Google 或 Yandex 上的搜尋,如果搜尋加密貨幣相關的內容,嵌入了連結到釣魚網站的搜尋結果將會顯示在最頂端。而另一個「重新分配」貨幣的方式是取代網頁上所有加密貨幣錢包的地址或 QR Code,全部換成網絡罪犯持有的錢包。受影響的瀏覽器也會出現誘騙用戶的廣告 (例如:Youtube),可能是小投資高回報,又或者是填網上問卷可獲酬勞等,甚至 Wiki 的網站也上方也會出現價的訊息要求支持計劃。

防禦 Razy 木馬程式的方法
Razy 木馬程式透過偽裝成實用軟件的方式散播,可以在不同的免費檔案代管服務中下載,所以用戶應該從這方面防範:

  • 只從開發者網站或信任來源下載應用程式
  • 如發現電腦上任何可疑活動 (例如出現不常見的優化工具),立即掃瞄電腦,可能會發現被騙安全惡意程式。
  • 檢查無故出現的瀏覽器擴充插件,並禁止可疑的插件運作。
  • 安裝可靠的防毒軟件

 

Comments are closed