Crazy Razy: der Bitcoin-Dieb

25 Jan 2019

Wenn Sie nicht den Standardbrowser Ihres Betriebssystems verwenden, kennen Sie sich mit Browsererweiterungen wahrscheinlich relativ gut aus und verwenden vielleicht sogar einige der hilfreichen Add-Ons. Wenn Sie unseren Blog regelmäßig verfolgen, wissen Sie mit Sicherheit auch, dass einige dieser Erweiterungen gefährlich sein können und deshalb nur aus offiziellen Quellen installiert werden sollten. Das Problem ist, dass schädliche Add-Ons ohne das Wissen und (größtenteils) ohne Handlungsbedarf des Nutzers installiert werden können.

Der Trojaner Razy installiert schädliche Browsererweiterungen für Chrome und Firefox, um Nutzer mit Phishings-Links zu versorgen und Kryptowährung zu stehlen

So installiert Razy schädliche Erweiterungen

Hauptverdächtiger ist der Trojaner Razy, der Google Chrome, Mozilla Firefox und den Yandex-Browser (alle für Windows) mit eigenen Plugins nachrüstet. Detaillierte Informationen dazu finden Sie auf Securelist.com, grundsätzlich verhindert die Malware jedoch das Scannen der zu installierenden Erweiterungen sowie die Aktualisierung des Browsers (nur für den Fall). Anschließend installiert der Trojaner schädliche Add-Ons: Firefox wird dabei mit der Erweiterung Firefox Protection, der Yandex Browser mit Yandex Protect ausgestattet.

Auch wenn die Namen auf den ersten Blick irreführend wirken, sollte ihr plötzliches Auftreten alle Alarmglocken bei Ihnen schrillen lassen. Diezbezüglich ist das Skript für Google Chrome besonders gefährlich: Razy kann die Chrome-Media-Router-Systemerweiterung infizieren, die nicht in der allgemeinen Liste der Browser-Plugins aufgelistet ist und ohne Sicherheitssoftware nur indirekt erkannt werden kann.

Das passiert nach der Infektion

Das gesamte Szenario ist ein klassisches Beispiel für einen Man-in-the-Browser-Angriff. Die schädlichen Erweiterungen modifizeren Website-Inhalte ganz nach den Wünschen ihrer Entwickler. Im Falle von Razy haben Inhaber von Kryptowährungen am meisten zu befürchten. Denn die Erweiterung hat es auf Kryptoexchange-Seiten abgesehen und schmückt diese mit Bannern, die „lukrative“ Angebote zum Kauf oder Verkauf von Kryptowährung enthalten – Nutzer, die nach dem Köder schnappen, bereichern aber lediglich die Cyberkriminellen und nicht sich selbst.

Trojaner Razy zeigt Besuchern von Krypto-Tauschbörsen Fake-Angebote

Darüber hinaus spioniert das Add-On die Google- bzw. Yandex-Suchen der Nutzer aus. Falls eine Suchanfrage das Stichwort Kryptowährung enthält, werden Links zu Phishing-Sites auf der Seite der Suchergebnisse eingebettet.

Trojaner Razy bestückt Suchergebnisse mit Phishing-Links

Razy-Ergebnisse: Die ersten 5 Links der Suchergebnisse wurden von der schädlichen Erweiterung hinzugefügt und führen auf Phishing-Seiten

Eine weitere Möglichkeit, Coins „umzuverteilen“, ist das Ersetzen aller Wallet-Adressen (oder QR-Codes) auf einer Webseite durch die Wallet-Adressen eines Cyberkriminellen.

Darüber hinaus werden Nutzer infizierter Browser von Bannern (beispielsweise auf Vkontakte oder Youtube) mit großzügigen Angeboten wie „Mit minimaler Investion zur Million“ oder „Verdienen Sie Geld mit Online-Umfragen“ verfolgt. Das Sahnehäubchen ist das gefälschte Banner auf Wikipedia-Seiten, das die Benutzer dazu auffordert, ein bestimmtes Projekt zu unterstützen.

Der Trojaner Razy möchte Wikipedia-Besucher mit Fake-Bannern zur finanziellen Unterstützung eines Projekts bewegen

So schützen Sie sich vor Razy

Der Razy-Trojaner wird unter dem Vorwand nützlicher Software über Partnerprogramme vertrieben und kann auf verschiedenen kostenlosen File-Hosting-Diensten heruntergeladen werden. Daher geben wir Ihnen folgende Tipps mit auf den Weg:

  • Laden Sie Apps nur von Entwickler-Websites und aus Quellen herunter, denen Sie vertrauen.
  • Scannen Sie Ihren Computer unverzüglich, sobald Sie verdächtige Aktivitäten auf dem Rechner (beispielsweise die Erscheining unbekannter Optimierungstools) feststellen, die darauf hindeuten könnten, dass Sie unwissentlich Malware installiert haben.
  • Suchen Sie nach Browser-Plugins, die legitim aussehen und deaktivieren Sie all diejenigen, die verdächtig wirken.
  • Verwenden Sie eine zuverlässige AV-Lösung.