ビットコインを盗むトロイの木馬「Razy」

2019年2月4日

OSのデフォルトではないブラウザーを使っている方なら、ブラウザーの拡張機能についてご存じだと思います。すでにいくつかお使いかもしれません。Kaspersky Dailyの読者であれば、拡張機能の中には危ないものもあることや、必ず公式ストアからインストールする必要があることもご存じでしょう。問題は、悪意ある拡張機能が、知らない間に、しかもほとんど何もしていないのに、インストールされてしまうことです。

Razyは悪意ある拡張機能をどのようにインストールするか

一番に疑いたいのは、トロイの木馬「Razy」です。このマルウェアは、ブラウザー拡張機能を使ってGoogle Chrome、Mozilla Firefox、Yandex Browser(いずれもWindows版)を改変します。インストールした拡張機能に対するウイルススキャンを無効にし、ブラウザーの更新をブロックし、悪意ある拡張機能のインストールを開始する、というのが基本的な動きです。拡張機能の名称は、FirefoxならばFirefox Protection、YandexならYandex Protectです。Razyの技術的詳細については、こちらの記事(英語)をご覧ください。

インストールされる拡張機能の名前はそれっぽくても、いきなり出現するのは不自然で、何かがおかしいと気付くきっかけになります。この意味で、Google Chrome向けのスクリプトは特に危険です。RazyはChrome Media Routerの拡張機能にも感染しますが、この拡張機能はブラウザー拡張機能の一覧には表示されず、セキュリティソフトなしには直接検知できません。

感染するとどうなるか

全体のシナリオは典型的な中間者攻撃(Man-in-the-Browser攻撃)で、この悪意ある拡張機能はWebサイトのコンテンツを犯人の思うままに改変します。Razyは、ビットコインを所有する人にとって一番の脅威です。この拡張機能は、仮想通貨取引所のWebサイトに「もうかる」仮想通貨取引をうたうバナーを表示します。これに食いついてしまった人は、最終的に、自分ではなくサイバー犯罪者に利することとなります。

それだけでなく、この拡張機能はGoogleやYandexで行われる検索を監視します。検索キーワードが仮想通貨関連の言葉だったら、検索結果が表示されるページにフィッシングサイトへのリンクを埋め込みます。

検索結果ページに表示される上位5つのリンクは、この悪意ある拡張機能によって追加された、フィッシングサイトへの誘導リンク

仮想通貨を盗み取る方法は、ほかにもあります。Webページ上のウォレットアドレス(またはQRコード)をすべて、サイバー犯罪者の所有するウォレットのアドレスに置き換える方法です。

また、感染したブラウザーを利用していると、たとえばVkontakteやYoutube上で「少額の投資でいっぱい稼ごう」「オンラインアンケートで収入」などとうたうバナーにつきまとわれます。Wikipediaにアクセスした場合には、Wikipediaプロジェクトの支援を訴えるバナーの偽物が表示されます。

Razyへの対応策

トロイの木馬Razyは、役に立つソフトウェアを装ってアフィリエイトプログラムを通じて配布され、無料の各種ファイル共有サービスからダウンロードされる可能性があります。感染を防ぐには、基本的な対策が有効です。

・アプリを入手する場合は、開発者のWebサイトか、信頼できる公式ストアからダウンロードする。

・コンピューター上で不審な動きに気付いたら(たとえば、見たことのない最適化ツールが表示されるなど)、すぐにウイルススキャンを実行する。こうした動きは、マルウェアをインストールしてしまったことを示しているかもしれません。

・インストールした覚えのないブラウザー拡張機能がないかどうかチェックして、不審な拡張機能は無効にする。

信頼できるセキュリティ製品を使用する。