Зараженная версия браузера Tor крала биткоины у русскоязычных пользователей

Антивирусная компания ESET обнаружила вредоносную кампанию, нацеленную на русскоязычных пользователей браузера Tor. В течение нескольких лет киберпреступники распространяли зараженную версию Tor Browser, используя ее для слежки за пользователями и кражи их биткоинов.

Злоумышленники распространяли зараженный трояном браузер на различных форумах, а также на сайте Pastebin в качестве официальной русскоязычной версии Tor Browser.

«Эта малварь позволяет злоумышленникам видеть, какие сайты жертва посещает в данный момент. Теоретически они также могут менять содержимое посещаемой страницы, перехватывать вводимые данные и показывать фейковые сообщения на сайтах», — поясняет Антон Черепанов, старший исследователь компании ESET.

Перейдя на одну из фишинговых страниц, пользователь получал предупреждение о необходимости скачать новую версию браузера Tor. После установки зараженная версия Tor Browser становилась полностью функциональным приложением.

«Преступники не меняли бинарные файлы браузера. Вместо этого они внесли изменения в настройки и расширения, поэтому обычные пользователи могли не заметить разницы между оригинальной и зараженной версиями», — говорит Антон Черепанов.

Одним из изменений стала блокировка функции обновления — обновленный браузер потерял бы нужный преступникам функционал. Отключалась и проверка цифровой подписи дополнений, что позволяло атакующим вносить изменения в любой аддон. Преступники также внесли определенные изменения для оповещения командного сервера о посещаемых жертвой страницах.

Как отмечают эксперты ESET, обнаруженный вредоносный компонент был нацелен на три крупнейших торговых площадки в русскоязычном сегменте даркнета.

Этот компонент пробовал изменить адреса кошельков платежной системы QIWI. Троянизированная версия Tor автоматически подменяла оригинальный адрес биткоин-кошелька на адрес преступников, когда жертва пыталась оплатить покупку биткоинами.

В ходе расследования эксперты ESET обнаружили три биткоин-кошелька со множеством мелких транзакций. Общая сумма переведенных на эти кошельки средств составила 4,8 биткоина, что соответствует примерно 2,5 млн рублей.

«Стоит отметить, что реальная сумма украденных средств гораздо больше, поскольку троянизированный Tor-браузер также подменяет и QIWI-кошельки», — подводит итог Антон Черепанов.

По теме: Tor повысил безопасность анонимной сети

Автор:	Softodrom.ru
Дата:	21.10.2019 20:13