{"id":11383,"date":"2019-01-30T13:50:58","date_gmt":"2019-01-30T13:50:58","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=11383"},"modified":"2020-05-07T16:28:19","modified_gmt":"2020-05-07T16:28:19","slug":"razy-trojan-cryptocurrency-stealer","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/razy-trojan-cryptocurrency-stealer\/11383\/","title":{"rendered":"Razy, un voleur de bitcoins"},"content":{"rendered":"

Si vous vous servez d\u2019un navigateur qui n\u2019est pas celui que le syst\u00e8me d\u2019exploitation utilise par d\u00e9faut, vous savez s\u00fbrement qu\u2019il existe certaines extensions, et vous en avez peut-\u00eatre quelques-unes. Si vous lisez r\u00e9guli\u00e8rement notre blog, vous savez que certaines extensions peuvent \u00eatre dangereuses<\/a>, et ne devraient \u00eatre install\u00e9es qu\u2019\u00e0 partir de sources officielles. Le probl\u00e8me est que les add-ons malveillantes peuvent s\u2019installer sans que l\u2019utilisateur n\u2019en soit conscient, ou m\u00eame \u00e0 cause de n\u2019importe quelle action (ou presque).<\/p>\n

Comment Razy installe les extensions malveillantes<\/h2>\n

Le principal suspect est le cheval de Troie Razy, puisqu\u2019il r\u00e9am\u00e9nage Google Chrome, Mozilla Firefox et Yandex Browser, tous sous Windows, avec ses propres plug-ins. Vous pouvez obtenir plus de renseignements sur Securelist.com<\/a> mais, pour faire simple, le malware d\u00e9sactive l\u2019analyse des extensions que vous installez, emp\u00eache le navigateur de se mettre \u00e0 jour juste au cas o\u00f9, et commence \u00e0 installer des add-ons malveillantes\u00a0: Firefox obtient l\u2019extension Firefox Protection, et Yandex Browser celle qui s\u2019appelle Yandex Project.<\/p>\n

M\u00eame si les noms sont trompeurs, leur soudaine apparition devrait attirer votre attention. Dans cette situation, le script pour Google Chrome est particuli\u00e8rement dangereux\u00a0: Razy peut infecter l\u2019extension du syst\u00e8me Chrome Media Router, qui n\u2019appara\u00eet pas dans la liste g\u00e9n\u00e9rale des plug-ins du navigateur, et cette attaque ne peut \u00eatre d\u00e9tect\u00e9e qu\u2019indirectement si vous n\u2019avez pas de logiciel de s\u00e9curit\u00e9.<\/p>\n

Que se passe-t-il apr\u00e8s l\u2019infection\u00a0?<\/h2>\n

Toute cette histoire est l\u2019exemple classique d\u2019une attaque de l\u2019homme dans le navigateur<\/a> (Man-in-the-browser). L\u2019extension malveillante modifie le contenu du site Internet au bon vouloir de ses cr\u00e9ateurs. Dans le cas de Razy, les propri\u00e9taires de crypto-monnaie doivent s\u2019attendre au pire. L\u2019extension vise les sites Internet sur lesquels les utilisateurs \u00e9changent de la crypto-monnaie, et leur ajoutent des banni\u00e8res qui affichent des offres \u00ab\u00a0lucratives\u00a0\u00bb permettant d\u2019acheter ou de vendre de la crypto-monnaie. Cependant, les utilisateurs qui mordent \u00e0 l\u2019hame\u00e7on finissent par enrichir le compte bancaire des cybercriminels, pas le leur.<\/p>\n

\"Le<\/p>\n

\u00a0<\/p>\n

De plus, l\u2019add-on espionne les recherches faites par l\u2019utilisateur sur Google ou Yandex, et si une recherche porte sur la crypto-monnaie, il affiche dans les r\u00e9sultats de la recherche des liens qui dirigent vers des sites d\u2019hame\u00e7onnage.<\/p>\n

\"Le

R\u00e9sultats de Razy\u00a0: les cinq premiers liens qui apparaissent dans les r\u00e9sultats de la recherche ont \u00e9t\u00e9 ajout\u00e9s par une extension malveillante, et vous dirigent vers des sites d\u2019hame\u00e7onnage<\/p><\/div>\n

\u00a0<\/p>\n

Une autre m\u00e9thode utilis\u00e9e pour redistribuer la monnaie, consiste \u00e0 remplacer toutes les adresses du portefeuille, ou les codes QR, sur un site Internet par les adresses des portefeuilles que les cybercriminels poss\u00e8dent.<\/p>\n

Les utilisateurs des navigateurs infect\u00e9s sont \u00e9galement poursuivis par des banni\u00e8res (comme Vkontakte ou Youtube) qui font des offres g\u00e9n\u00e9reuses\u00a0: \u00ab\u00a0Investissez quelques euros maintenant, et gagnez des millions en peu de temps\u00a0\u00bb, \u00ab\u00a0Participez \u00e0 ce sondage en ligne, et gagnez de l\u2019argent\u00a0\u00bb, et ainsi de suite. La cerise sur le g\u00e2teau est la fausse banni\u00e8re affich\u00e9e sur les pages de Wikip\u00e9dia qui demande aux utilisateurs de soutenir leur projet.<\/p>\n

\"\"

Le cheval de Troie Razy affiche de fausses banni\u00e8res \u00a0\u00bb\u00a0Soutenir le projet\u00a0\u00a0\u00bb \u00e0 ceux qui consultent Wikip\u00e9dia<\/p><\/div>\n

<\/h2>\n

Comment se prot\u00e9ger de Razy<\/h2>\n

Le cheval de Troie Razy se r\u00e9pand en se faisant passer pour un logiciel utile gr\u00e2ce \u00e0 des programmes affili\u00e9s<\/a>, et il peut \u00eatre t\u00e9l\u00e9charg\u00e9 \u00e0 partir de plusieurs services gratuits d\u2019h\u00e9bergement de fichiers. Par cons\u00e9quent, les conseils que nous vous donnons pour vous prot\u00e9ger de cette infection sont assez ordinaires :<\/p>\n