Razy, el ladrón de bitcoins

28 Ene 2019

Si utilizas un navegador diferente al predeterminado por el sistema operativo, lo más probable es que conozcas las extensiones y que, de hecho, uses unas cuantas. Y, si eres un lector habitual de este blog, sabrás que algunas pueden ser peligrosas y que, por tanto, deberías instalarlas únicamente desde fuentes oficiales. El problema es que los complementos maliciosos se pueden instalar sin que el usuario sea consciente e, incluso, ejecute ninguna acción (bueno, casi ninguna).

Cómo instala Razy las extensiones maliciosas

El principal sospechoso es el troyano Razy, que actualiza Google Chrome, Mozilla Firefox y el navegador Yandex (todos para Windows) con sus propios complementos. En Securelist.com encontrarás más información, pero básicamente, el malware inhabilita el análisis de extensiones instalado, bloquea las actualizaciones del navegador, por si acaso, e instala sus complementos maliciosos: Firefox recibe la extensión Firefox Protection y Yandex Browser, Yandex Protect.

Incluso los nombres son engañosos, su repentina aparición debería de llamar tu atención. En Google Chrome es especialmente peligroso: Razy puede infectar la extensión de sistema Chrome Media Router, que no aparece en la lista general de los complementos del navegador y que, sin software de seguridad, solo se puede detectar de forma indirecta.

Qué sucede tras la infección

Esta situación es un ejemplo típico de ataque man-in-the-browser. Las extensiones maliciosas ajustan el contenido del sitio web a la voluntad de los creadores. En el caso de Razy, los propietarios de las criptomonedas son los que más tienen que temer. La extensión tiene como objetivo los sitios de intercambio de criptomonedas y los adorna con banners con ofertas “lucrativas” de compra y venta de criptomonedas, pero, en realidad, los usuarios que muerden el anzuelo acaban enriqueciendo a los cibercriminales.

Además, la extensión espía las búsquedas de los usuarios en Google o Yandex y, si una trata sobre criptomonedas, introduce enlaces a sitios phishing en la página de resultados.

Resultados de Razy: la extensión maliciosa añade los 5 primeros enlaces de los resultados de búsqueda que dirigen a sitios phishing

 

Otra forma de “redistribuir” monedas es remplazar todas las direcciones de monederos (o códigos QR) de una página web por las direcciones de los ciberdelincuentes.

Los usuarios de navegadores infectados también tienen que lidiar con banners (por ejemplo, en Vkontakte o Youtube) con ofertas tan generosas como: “Invierte ahora y gana millones” o “Recibe dinero por una encuesta online” entre otras. La cereza del pastel es un banner falso en las páginas de Wikipedia que solicita a los usuarios que apoyen el proyecto.

Cómo protegerte contra Razy

El troyano Razy se distribuye a través de programas afiliados como un software útil y se puede descargar desde varios servicios de alojamiento de archivos gratuitos, por lo que nuestros consejos para protegerte son muy simples:

  • Descarga las aplicaciones exclusivamente del sitio del desarrollador o de fuentes de confianza.
  • Analiza tu computdora de inmediato si te percatas de cualquier actividad sospechosa (como, por ejemplo, la aparición de herramientas de optimización desconocidas) que podría indicar que has sido infectado con malware.
  • Comprueba los complementos del navegador que aparezcan de la nada y desactiva los que parezcan sospechosos.
  • Utiliza una solución antivirus de confianza