Razy, un voleur de bitcoins

30 Jan 2019

Si vous vous servez d’un navigateur qui n’est pas celui que le système d’exploitation utilise par défaut, vous savez sûrement qu’il existe certaines extensions, et vous en avez peut-être quelques-unes. Si vous lisez régulièrement notre blog, vous savez que certaines extensions peuvent être dangereuses, et ne devraient être installées qu’à partir de sources officielles. Le problème est que les add-ons malveillantes peuvent s’installer sans que l’utilisateur n’en soit conscient, ou même à cause de n’importe quelle action (ou presque).

Comment Razy installe les extensions malveillantes

Le principal suspect est le cheval de Troie Razy, puisqu’il réaménage Google Chrome, Mozilla Firefox et Yandex Browser, tous sous Windows, avec ses propres plug-ins. Vous pouvez obtenir plus de renseignements sur Securelist.com mais, pour faire simple, le malware désactive l’analyse des extensions que vous installez, empêche le navigateur de se mettre à jour juste au cas où, et commence à installer des add-ons malveillantes : Firefox obtient l’extension Firefox Protection, et Yandex Browser celle qui s’appelle Yandex Project.

Même si les noms sont trompeurs, leur soudaine apparition devrait attirer votre attention. Dans cette situation, le script pour Google Chrome est particulièrement dangereux : Razy peut infecter l’extension du système Chrome Media Router, qui n’apparaît pas dans la liste générale des plug-ins du navigateur, et cette attaque ne peut être détectée qu’indirectement si vous n’avez pas de logiciel de sécurité.

Que se passe-t-il après l’infection ?

Toute cette histoire est l’exemple classique d’une attaque de l’homme dans le navigateur (Man-in-the-browser). L’extension malveillante modifie le contenu du site Internet au bon vouloir de ses créateurs. Dans le cas de Razy, les propriétaires de crypto-monnaie doivent s’attendre au pire. L’extension vise les sites Internet sur lesquels les utilisateurs échangent de la crypto-monnaie, et leur ajoutent des bannières qui affichent des offres « lucratives » permettant d’acheter ou de vendre de la crypto-monnaie. Cependant, les utilisateurs qui mordent à l’hameçon finissent par enrichir le compte bancaire des cybercriminels, pas le leur.

Le cheval de Troie Razy affiche de fausses offres aux utilisateurs de sites qui permettent d'échanger de la crypto-monnaie

 

De plus, l’add-on espionne les recherches faites par l’utilisateur sur Google ou Yandex, et si une recherche porte sur la crypto-monnaie, il affiche dans les résultats de la recherche des liens qui dirigent vers des sites d’hameçonnage.

Le cheval de Troie Razy ajoute des liens dans les résultats d'une recherche – de nombreux lien d'hameçonnage

Résultats de Razy : les cinq premiers liens qui apparaissent dans les résultats de la recherche ont été ajoutés par une extension malveillante, et vous dirigent vers des sites d’hameçonnage

 

Une autre méthode utilisée pour redistribuer la monnaie, consiste à remplacer toutes les adresses du portefeuille, ou les codes QR, sur un site Internet par les adresses des portefeuilles que les cybercriminels possèdent.

Les utilisateurs des navigateurs infectés sont également poursuivis par des bannières (comme Vkontakte ou Youtube) qui font des offres généreuses : « Investissez quelques euros maintenant, et gagnez des millions en peu de temps », « Participez à ce sondage en ligne, et gagnez de l’argent », et ainsi de suite. La cerise sur le gâteau est la fausse bannière affichée sur les pages de Wikipédia qui demande aux utilisateurs de soutenir leur projet.

Le cheval de Troie Razy affiche de fausses bannières  » Soutenir le projet  » à ceux qui consultent Wikipédia

Comment se protéger de Razy

Le cheval de Troie Razy se répand en se faisant passer pour un logiciel utile grâce à des programmes affiliés, et il peut être téléchargé à partir de plusieurs services gratuits d’hébergement de fichiers. Par conséquent, les conseils que nous vous donnons pour vous protéger de cette infection sont assez ordinaires :

  • Ne téléchargez les applications que sur le site Internet du développeur, ou à partir de sources fiables.
  • Analysez immédiatement votre ordinateur si vous remarquez une activité suspecte sur votre ordinateur (par exemple, l’apparition d’outils inconnus pour optimiser le système), puisqu’elle pourrait indiquer que vous avez été poussé à installer un malware.
  • Vérifiez les plug-ins du navigateur qui semblent apparaitre de nulle part, et désactivez tous ceux qui semblent suspects.
  • Utilisez un antivirus de confiance.