La firma de seguridad informática Kaspersky Lab reveló recientemente un informe en el que indica la existencia de un nuevo malware llamado Razy, un troyano cuyo objetivo es falsificar los resultados de búsqueda de los usuarios del navegador Google Chrome para robar criptomonedas de sus monederos.
Según el reporte, los investigadores de la empresa hallaron un programa malicioso bajo el nombre Trojan.Win32.Razy.gen en un archivo ejecutable que es difundido por los hackers mediante anuncios en sitios web, y es distribuido a partir de servicios de hosting gratuitos que se muestran como software legítimo. La finalidad de los hackers es el robo de Bitcoin y Ethereum.
El informe revela que el troyano Razy busca direcciones de carteras de criptomonedas en diversos sitios web para luego reemplazarlas con las direcciones de cartera de los hackers. Esto se logra a través de falsos códigos QR que buscan engañar a los usuarios, mediante el redireccionamiento del tráfico de los usuarios a sitios web falsos de las exchanges, además de mediante la falsificación de los resultados de búsqueda en Google Chrome.
Kaspersky reveló que las extensiones de Mozilla Firefox, Google Chrome y el buscador Yandex pueden verse afectadas por el malware, aunque el ataque se manifiesta de maneras distintas para cada navegador. En el caso de Firefox, Razy instala una extensión llamada Firefox Protection; en Chrome se encarga de modificar el contenido de la carpeta donde está ubicada la extensión Chrome Media Router; y en Yandex instala una extensión llamada Yandex Protect.
Los investigadores aseguran que el troyano muestra resultados de búsqueda falsos debido a que aparecen enlaces falsos que se incorporan a los sitios web si las preferencias de búsqueda del usuario están basadas en criptomonedas o exchanges de criptomonedas. Además, el troyano aparece junto a torrents de música.
Una vez el malware logra colarse en el sistema del usuario, muestra un mensaje donde solicita donaciones para Wikipedia, si el usuario es visitante recurrente del sitio. En caso de que el usuario visite el sitio web de Telegram, verá una oferta tentativa para comprar tokens a precios muy bajos. Asimismo, los usuarios de la red social rusa Vkontakte han sido víctimas de anuncios publicitarios que contienen el malware.
Los comentarios están cerrados.