{"id":11362,"date":"2019-02-12T19:13:54","date_gmt":"2019-02-12T22:13:54","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=11362"},"modified":"2019-11-22T07:10:07","modified_gmt":"2019-11-22T10:10:07","slug":"razy-trojan-cryptocurrency-stealer","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/razy-trojan-cryptocurrency-stealer\/11362\/","title":{"rendered":"Razy, o \u00a0ladr\u00e3o de bitcoin"},"content":{"rendered":"

Se voc\u00ea usa um navegador diferente do determinado como padr\u00e3o pelo sistema operacional, provavelmente voc\u00ea conhece extens\u00f5es e at\u00e9 deve utilizar algumas. Se voc\u00ea tamb\u00e9m \u00e9 um leitor regular do nosso blog, j\u00e1 sabe que algumas delas s\u00e3o perigosas<\/a> e devem ser instaladas apenas por meio de fontes oficiais. O problema \u00e9 que os complementos maliciosos podem ser instalados sem o conhecimento do usu\u00e1rio \u2013 e at\u00e9 mesmo sem qualquer tipo de a\u00e7\u00e3o (bem, quase).<\/p>\n O Trojan Razy instala secretamente extens\u00f5es maliciosas no Chrome e Firefox para enviar links de phishing e roubar criptomoedas\n

Como o Razy instala extens\u00f5es maliciosas?<\/h3>\n

O principal suspeito \u00e9 o Trojan Razy, que atualiza o Google Chrome, o Mozilla Firefox e o Yandex Browser (todos para Windows) com seus pr\u00f3prios plugins. Voc\u00ea pode obter mais detalhes no Securelist<\/a>, mas basicamente, o malware desabilita a verifica\u00e7\u00e3o das extens\u00f5es instaladas, bloqueia a atualiza\u00e7\u00e3o do navegador e, em seguida, adiciona os complementos maliciosos: o Firefox recebe a extens\u00e3o do Firefox Protection e o Yandex Browser, o Yandex Protect.<\/p>\n

Mesmo que os nomes sejam enganosos, sua apari\u00e7\u00e3o repentina deveria levantar suspeita. No Google Chrome \u00e9 particularmente perigoso: o Razy pode infectar a extens\u00e3o do sistema Chrome Media Router, que n\u00e3o aparece na lista geral de plugins do navegador e, sem o software de seguran\u00e7a, torna-se detect\u00e1vel apenas de maneira indireta.<\/p>\n

O que acontece depois da infec\u00e7\u00e3o?<\/h3>\n

Esta situa\u00e7\u00e3o \u00e9 um exemplo t\u00edpico de ataque man-in-the-browser<\/a>. As extens\u00f5es maliciosas alteram o conte\u00fado do site de acordo com os desejos dos seus criadores. No caso do Razy, os propriet\u00e1rios de criptomoeda s\u00e3o os que mais t\u00eam a temer. A extens\u00e3o tem como alvo os sites de troca de criptomoedas, e por isso enfeita as p\u00e1ginas com banners que exibem ofertas \u201clucrativas\u201d para compra e venda de criptomoedas \u2013 mas, os usu\u00e1rios que mordem a isca acabam enriquecendo apenas os cibercriminosos e n\u00e3o a si mesmos.<\/p>\n

\"Trojan

Trojan Razy exibe ofertas falsas em sites de troca de criptomoedas<\/p><\/div>\n

Al\u00e9m disso, o complemento espiona as pesquisas dos usu\u00e1rios no Google e no Yandex e, se alguma consulta for sobre criptomoeda, incorpora links para sites de phishing na p\u00e1gina de resultados da pesquisa.<\/p>\n

\"Resultados

Resultados do Razy: os cinco principais links da pesquisa s\u00e3o adicionados pela extens\u00e3o maliciosa e indicam sites de phishing<\/p><\/div>\n

Outra maneira de \u201credistribuir\u201d moedas \u00e9 substituindo todos os endere\u00e7os de carteira (ou QR codes) em uma p\u00e1gina da Web pelos endere\u00e7os de carteiras dos cibercriminosos.<\/p>\n

Os usu\u00e1rios de navegadores infectados tamb\u00e9m s\u00e3o perseguidos por banners (por exemplo, no Vkontakte ou no Youtube) com ofertas generosas, como: \u201cInvista um pouco agora, ganhe um milh\u00e3o depois\u201d, \u201cSeja pago por uma pesquisa online\u201d e assim por diante. A cereja do bolo \u00e9 o banner falso nas p\u00e1ginas da Wikip\u00e9dia pedindo aos usu\u00e1rios que apoiem o projeto.<\/p>\n

O Trojan Razy exibe aos visitantes da Wikip\u00e9dia um banner falso para \"apoiar o projeto\"

O Trojan Razy exibe aos visitantes da Wikip\u00e9dia um banner falso para \u201capoiar o projeto\u201d\u00a0<\/strong><\/p><\/div>\n

Como se proteger contra o Razy<\/h3>\n

O Trojan Razy \u00e9 distribu\u00eddo sob o disfarce de softwares \u00fateis por meio de programas afiliados<\/a> e pode ser feito o download de v\u00e1rios servi\u00e7os gratuitos de hospedagem de arquivos, portanto os conselhos sobre como se proteger contra essa amea\u00e7a s\u00e3o bastante simples:<\/p>\n