Компания ESET выявила фальшивую версию браузера tor, которую киберпреступники используют для хищения биткоинов у покупателей даркнет-рынков и шпионажа за пользователями.
«Это вредоносное программное обеспечение позволяет преступникам просматривать посещаемые жертвой веб-сайты. Теоретически оно может изменять содержимое посещаемой страницы, перехватывать данные, которые жертва заполняет в формы, и отображать поддельные сообщения. Однако мы зафиксировали использование только одной функциональной возможности – изменения адресов кошельков криптовалюты», – пишут специалисты.
Изменение оригинального адреса биткоина на адрес преступников происходит во время пополнения жертвой счета кошелька в профиле.
«Мы обнаружили три биткоин-кошелька, которые используются в этой кампании с 2017 года. Каждый такой кошелёк содержит сравнительно большое количество транзакций на незначительные суммы; мы считаем это подтверждением того, что данные кошельки действительно использовались поддельной версией браузера Tor», – заявили специалисты ESET.
На момент завершения исследования общая сумма полученных средств на все три кошелька составляла 4,8 биткоина (примерно $40 000). Следует отметить, что реальная сумма похищенных денег значительно выше, поскольку поддельная версия браузера Tor также меняет адрес кошельков QIWI.
Кампания нацелена на русскоязычных пользователей анонимной сети Tor. Своё вредоносное программное обеспечение киберпреступники рекламировали на различных форумах как официальную русскоязычную версию браузера Tor, однако их истинной целью было заманить жертв на несколько вредоносных веб-сайтов, замаскированных под легитимные. На первом сайте пользователь получает предупреждение об устаревшей версии браузера Tor, после чего потенциальная жертва перенаправляется на второй сайт с инсталлятором.
Фактически поддельная версия браузера Tor является полнофункциональным приложением. Преступники не меняли бинарные компоненты браузера Тор, вместо этого они внесли изменения в настройки и расширения. В результате, простые пользователи, вероятно, не замечали разницы между оригинальной и фальшивой версией. В частности, в поддельной версии были выключены все виды обновлений в настройках и проверка цифровых подписей, что позволяло злоумышленникам менять любое расширение и беспрепятственно загружать его браузером.
Преступники также внесли изменения, позволяющие оповещать командный сервер (C&C) о текущей веб-странице, которую посещает жертва, и доставлять в браузер компоненты JavaScript.