{"id":13983,"date":"2019-01-28T10:27:40","date_gmt":"2019-01-28T16:27:40","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=13983"},"modified":"2020-04-02T05:35:58","modified_gmt":"2020-04-02T11:35:58","slug":"razy-trojan-cryptocurrency-stealer","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/razy-trojan-cryptocurrency-stealer\/13983\/","title":{"rendered":"Razy, el ladr\u00f3n de bitcoins"},"content":{"rendered":"

Si utilizas un navegador diferente al predeterminado por el sistema operativo, lo m\u00e1s probable es que conozcas las extensiones y que, de hecho, uses unas cuantas. Y, si eres un lector habitual de este blog, sabr\u00e1s que algunas pueden ser peligrosas<\/a> y que, por tanto, deber\u00edas instalarlas \u00fanicamente desde fuentes oficiales. El problema es que los complementos maliciosos se pueden instalar sin que el usuario sea consciente e, incluso, ejecute ninguna acci\u00f3n (bueno, casi ninguna).<\/p>\n

\"\"<\/p>\n

C\u00f3mo instala Razy las extensiones maliciosas<\/h2>\n

El principal sospechoso es el troyano Razy, que actualiza Google Chrome, Mozilla Firefox y el navegador Yandex (todos para Windows) con sus propios complementos. En Securelist.com<\/a> encontrar\u00e1s m\u00e1s informaci\u00f3n, pero b\u00e1sicamente, el malware<\/em> inhabilita el an\u00e1lisis de extensiones instalado, bloquea las actualizaciones del navegador, por si acaso, e instala sus complementos maliciosos: Firefox recibe la extensi\u00f3n Firefox Protection y Yandex Browser, Yandex Protect.<\/p>\n

Incluso los nombres son enga\u00f1osos, su repentina aparici\u00f3n deber\u00eda de llamar tu atenci\u00f3n. En Google Chrome es especialmente peligroso: Razy puede infectar la extensi\u00f3n de sistema Chrome Media Router, que no aparece en la lista general de los complementos del navegador y que, sin software<\/em> de seguridad, solo se puede detectar de forma indirecta.<\/p>\n

Qu\u00e9 sucede tras la infecci\u00f3n<\/h2>\n

Esta situaci\u00f3n es un ejemplo t\u00edpico de ataque man-in-the-browser<\/a><\/em>. Las extensiones maliciosas ajustan el contenido del sitio web a la voluntad de los creadores. En el caso de Razy, los propietarios de las criptomonedas son los que m\u00e1s tienen que temer. La extensi\u00f3n tiene como objetivo los sitios de intercambio de criptomonedas y los adorna con banners<\/em> con ofertas \u201clucrativas\u201d de compra y venta de criptomonedas, pero, en realidad, los usuarios que muerden el anzuelo acaban enriqueciendo a los cibercriminales.<\/p>\n

\"\"<\/p>\n

Adem\u00e1s, la extensi\u00f3n esp\u00eda las b\u00fasquedas de los usuarios en Google o Yandex y, si una trata sobre criptomonedas, introduce enlaces a sitios phishing<\/em> en la p\u00e1gina de resultados.<\/p>\n

\"\"

Resultados de Razy: la extensi\u00f3n maliciosa a\u00f1ade los 5 primeros enlaces de los resultados de b\u00fasqueda que dirigen a sitios phishing<\/p><\/div>\n

\u00a0<\/p>\n

Otra forma de \u201credistribuir\u201d monedas es remplazar todas las direcciones de monederos (o c\u00f3digos QR) de una p\u00e1gina web por las direcciones de los ciberdelincuentes.<\/p>\n

Los usuarios de navegadores infectados tambi\u00e9n tienen que lidiar con banners<\/em> (por ejemplo, en Vkontakte o Youtube) con ofertas tan generosas como: \u201cInvierte ahora y gana millones\u201d o \u201cRecibe dinero por una encuesta online<\/em>\u201d entre otras. La cereza del pastel es un banner<\/em> falso en las p\u00e1ginas de Wikipedia que solicita a los usuarios que apoyen el proyecto.<\/p>\n

\"\"<\/p>\n

C\u00f3mo protegerte contra Razy<\/h2>\n

El troyano Razy se distribuye a trav\u00e9s de programas afiliados<\/a> como un software \u00fatil y se puede descargar desde varios servicios de alojamiento de archivos gratuitos, por lo que nuestros consejos para protegerte son muy simples:<\/p>\n