Внимание! Вредоносный вирус Razy ворует криптовалютуУважаемые пользователи, обратите внимание: “Лабораторией Касперского” выявлен новый вредоносный вирус Razy (Trojan.Win32.Razy.gen). Вирус либо устанавливает вредоносное расширение браузера на ПК пользователей, либо заражает уже существующее.
Поскольку основная задача Razy - кража криптовалюты, вирус носит значительную угрозу для пользователей биржи. Основным инструментом Razy является скрипт main.js, который умеет:
- Искать на веб-сайтах адреса криптовалютных кошельков и заменять их на адреса кошельков злоумышленника.
- Изменять изображения QR-кодов кошельков. Подмена происходит при посещении ресурсов gdax.com, pro.coinbase.com, exmo.*, binance.*, либо при обнаружении на странице элемента с src=’/res/exchangebox/qrcode/’.
- Изменять вид страниц криптовалютных бирж (например, EXMO и YoBit).
- Подменять выдачу поисковых систем «Яндекс» и Google. На страницы добавляются фальшивые результаты. Таким образом зараженного пользователя заманивают на мошеннические сайты либо на легальные криптовалютные ресурсы, где он обнаружит описанное ниже сообщение.
- При посещении «Википедии» main.js добавляет к контенту баннер с текстом, призывающим материально поддержать создателей Википедии.
- При посещении сайта telegram.org пользователя также ожидает предложение купить токены Telegram по невероятно выгодной цене.
- На страницы социальной сети Вконтакте добавляется рекламный баннер, при клике по которому пользователь перенаправляется на фишинговые ресурсы, где его убеждают заплатить небольшую сумму денег сейчас, чтобы заработать кучу денег потом.
Троян Razy взаимодействует с браузерами Google Chrome, Mozilla Firefox, «Яндекс.Браузер», но природа интеграции в каждый браузер отличается.
Обратите внимание, скрипт main.js может видоизменять страницу биржи!
Пример мошеннического сообщения при посещении страницы EXMO из зараженного браузера:
Данные скрипты показывают пользователю поддельные сообщения с несуществующими «новыми функциями» биржи и предложением продать свою криптовалюту по цене выше рыночной. По сути, пользователя убеждают перевести деньги на кошелек злоумышленника под предлогом выгодной сделки.
Просим быть внимательными и не устанавливать непроверенное программное ПО. Если вы обнаружили новые подозрительные функции биржи, рекомендуем вам сделать скриншот и обратиться в службу поддержки EXMO по адресу
[email protected].
Подробнее о механизме заражения и работе вируса Razy можно прочитать, например, на информационном сайте «Лаборатории Касперского»:
https://securelist.ru/razy-in-search-of-cryptocurrency/93090/