{"id":18422,"date":"2019-01-25T12:02:20","date_gmt":"2019-01-25T10:02:20","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=18422"},"modified":"2019-11-22T12:11:28","modified_gmt":"2019-11-22T10:11:28","slug":"razy-trojan-cryptocurrency-stealer","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/razy-trojan-cryptocurrency-stealer\/18422\/","title":{"rendered":"Crazy Razy: der Bitcoin-Dieb"},"content":{"rendered":"

Wenn Sie nicht den Standardbrowser Ihres Betriebssystems verwenden, kennen Sie sich mit Browsererweiterungen wahrscheinlich relativ gut aus und verwenden vielleicht sogar einige der hilfreichen Add-Ons. Wenn Sie unseren Blog regelm\u00e4\u00dfig verfolgen, wissen Sie mit Sicherheit auch, dass einige dieser Erweiterungen gef\u00e4hrlich sein k\u00f6nnen<\/a> und deshalb nur aus offiziellen Quellen installiert werden sollten. Das Problem ist, dass sch\u00e4dliche Add-Ons ohne das Wissen und (gr\u00f6\u00dftenteils) ohne Handlungsbedarf des Nutzers installiert werden k\u00f6nnen.<\/p>\n

<\/h2>\n

So installiert Razy sch\u00e4dliche Erweiterungen<\/h2>\n

Hauptverd\u00e4chtiger ist der Trojaner Razy, der Google Chrome, Mozilla Firefox und den Yandex-Browser (alle f\u00fcr Windows) mit eigenen Plugins nachr\u00fcstet. Detaillierte Informationen dazu finden Sie auf Securelist.com<\/a>, grunds\u00e4tzlich verhindert die Malware jedoch das Scannen der zu installierenden Erweiterungen sowie die Aktualisierung des Browsers (nur f\u00fcr den Fall). Anschlie\u00dfend installiert der Trojaner sch\u00e4dliche Add-Ons: Firefox wird dabei mit der Erweiterung Firefox Protection, der Yandex Browser mit Yandex Protect ausgestattet.<\/p>\n

Auch wenn die Namen auf den ersten Blick irref\u00fchrend wirken, sollte ihr pl\u00f6tzliches Auftreten alle Alarmglocken bei Ihnen schrillen lassen. Diezbez\u00fcglich ist das Skript f\u00fcr Google Chrome besonders gef\u00e4hrlich: Razy kann die Chrome-Media-Router-Systemerweiterung infizieren, die nicht in der allgemeinen Liste der Browser-Plugins aufgelistet ist und ohne Sicherheitssoftware nur indirekt erkannt werden kann.<\/p>\n

Das passiert nach der Infektion<\/h3>\n

Das gesamte Szenario ist ein klassisches Beispiel f\u00fcr einen Man-in-the-Browser-Angriff<\/a>. Die sch\u00e4dlichen Erweiterungen modifizeren Website-Inhalte ganz nach den W\u00fcnschen ihrer Entwickler. Im Falle von Razy haben Inhaber von Kryptow\u00e4hrungen am meisten zu bef\u00fcrchten. Denn die Erweiterung hat es auf Kryptoexchange-Seiten abgesehen und schm\u00fcckt diese mit Bannern, die \u201elukrative\u201c Angebote zum Kauf oder Verkauf von Kryptow\u00e4hrung enthalten \u2013 Nutzer, die nach dem K\u00f6der schnappen, bereichern aber lediglich die Cyberkriminellen und nicht sich selbst.<\/p>\n

\"Trojaner<\/p>\n

Dar\u00fcber hinaus spioniert das Add-On die Google- bzw. Yandex-Suchen der Nutzer aus. Falls eine Suchanfrage das Stichwort Kryptow\u00e4hrung enth\u00e4lt, werden Links zu Phishing-Sites auf der Seite der Suchergebnisse eingebettet.<\/p>\n

\"Trojaner

Razy-Ergebnisse: Die ersten 5 Links der Suchergebnisse wurden von der sch\u00e4dlichen Erweiterung hinzugef\u00fcgt und f\u00fchren auf Phishing-Seiten<\/p><\/div>\n

Eine weitere M\u00f6glichkeit, Coins \u201eumzuverteilen\u201c, ist das Ersetzen aller Wallet-Adressen (oder QR-Codes) auf einer Webseite durch die Wallet-Adressen eines Cyberkriminellen.<\/p>\n

Dar\u00fcber hinaus werden Nutzer infizierter Browser von Bannern (beispielsweise auf Vkontakte oder Youtube) mit gro\u00dfz\u00fcgigen Angeboten wie \u201eMit minimaler Investion zur Million\u201c oder \u201eVerdienen Sie Geld mit Online-Umfragen\u201c verfolgt. Das Sahneh\u00e4ubchen ist das gef\u00e4lschte Banner auf Wikipedia-Seiten, das die Benutzer dazu auffordert, ein bestimmtes Projekt zu unterst\u00fctzen.<\/p>\n

\"Der<\/p>\n

So sch\u00fctzen Sie sich vor Razy<\/h3>\n

Der Razy-Trojaner wird unter dem Vorwand n\u00fctzlicher Software \u00fcber Partnerprogramme<\/a> vertrieben und kann auf verschiedenen kostenlosen File-Hosting-Diensten heruntergeladen werden. Daher geben wir Ihnen folgende Tipps mit auf den Weg:<\/p>\n