Un nuevo informe de la firma de seguridad informática Kaspersky Lab ha revelado la existencia de un nuevo malware llamado ‘Razy’, un troyano cuyo objetivo es falsificar los resultados de búsqueda de los usuarios del navegador Google Chrome para robar criptomonedas de los monederos de los usuarios.

En concreto, los investigadores de la firma rusa hallaron un programa malicioso bajo el nombre Trojan.Win32.Razy.gen en un archivo ejecutable que es difundido por los hackers mediante anuncios en sitios web, y es distribuido a partir de servicios de hosting gratuitos que se muestran como software legítimo. La finalidad de los hackers es el robo de bitcoins y Ethereum.

El informe revela que el troyano Razy busca direcciones de carteras de criptomonedas en diversos sitios web para luego reemplazarlas con las direcciones de cartera de los hackers. Esto se logra a través de falsos códigos QR que buscan engañar a los usuarios, mediante el redireccionamiento del tráfico de los usuarios a sitios web falsos de las exchanges, y mediante la falsificación de los resultados de búsqueda en Google Chrome.

Kaspersky reveló que las extensiones de Mozilla Firefox, Google Chrome y el buscador Yandex pueden verse afectadas por el malware, aunque el ataque se manifiesta de maneras distintas para cada navegador. En el caso de Firefox, Raze instala una extensión llamada Firefox Protection; en Chrome se encarga de modificar el contenido de la carpeta donde está ubicada la extensión Chrome Media Router; y en Yandex instala una extensión llamada Yandex Protect.

Los investigadores aseguran que el troyano muestra resultados de búsqueda falsos debido a que aparecen enlaces falsos que se incorporan a los sitios web si las preferencias de búsqueda del usuario están basadas en criptomonedas o exchanges de criptomonedas. Además, el troyano aparece junto a torrents de música.

Investigación muestra que un malware de minería de Monero (XMR) ahora afecta sistemas Windows

Una vez el malware logra colarse en el sistema del usuario, muestra un mensaje donde solicita donaciones para Wikipedia, si el usuario es visitante recurrente del sitio. En caso de que el usuario visite el sitio web de Telegram, verá una oferta tentativa para comprar tokens a precios muy bajos. Asimismo, los usuarios de la red social rusa Vkontakte han sido víctimas de anuncios publicitarios que contienen el malware.

Kaspersky afirma que, al momento de escribir su artículo, los hackers habían logrado robar 0.14 bitcoins y más de 25 ethereum.

Más en CoinCrispy