Компания ESET выявила фальшивую версию браузера Tor, которую киберпреступники используют для хищения биткоинов у покупателей даркнет-рынков и шпионажа за пользователями.
«Это вредоносное программное обеспечение позволяет преступникам просматривать посещаемые жертвой веб-сайты. Теоретически оно может изменять содержимое посещаемой страницы, перехватывать данные, которые жертва заполняет в формы, и отображать поддельные сообщения. Однако мы зафиксировали использование только одной функциональной возможности – изменения адресов кошельков криптовалюты», – пишут специалисты.
Изменение оригинального адреса биткоина на адрес преступников происходит во время пополнения жертвой счета кошелька в профиле.
«Мы обнаружили три биткоин-кошелька, которые используются в этой кампании с 2017 года. Каждый такой кошелёк содержит сравнительно большое количество транзакций на незначительные суммы; мы считаем это подтверждением того, что данные кошельки действительно использовались поддельной версией браузера Tor», – заявили специалисты ESET.
На момент завершения исследования общая сумма полученных средств на все три кошелька составляла 4,8 биткоина (примерно $40 000). Следует отметить, что реальная сумма похищенных денег значительно выше, поскольку поддельная версия браузера Tor также меняет адрес кошельков QIWI.
Кампания нацелена на русскоязычных пользователей анонимной сети Tor. Своё вредоносное программное обеспечение киберпреступники рекламировали на различных форумах как официальную русскоязычную версию браузера Tor, однако их истинной целью было заманить жертв на несколько вредоносных веб-сайтов, замаскированных под легитимные. На первом сайте пользователь получает предупреждение об устаревшей версии браузера Tor, после чего потенциальная жертва перенаправляется на второй сайт с инсталлятором.
Фактически поддельная версия браузера Tor является полнофункциональным приложением. Преступники не меняли бинарные компоненты браузера Тор, вместо этого они внесли изменения в настройки и расширения. В результате, простые пользователи, вероятно, не замечали разницы между оригинальной и фальшивой версией. В частности, в поддельной версии были выключены все виды обновлений в настройках и проверка цифровых подписей, что позволяло злоумышленникам менять любое расширение и беспрепятственно загружать его браузером.
Преступники также внесли изменения, позволяющие оповещать командный сервер (C&C) о текущей веб-странице, которую посещает жертва, и доставлять в браузер компоненты JavaScript.
В мире, где цифровая экономика становится все более важной, а финансовая безопасность играет ключевую роль,…
Биткоин — это не просто цифровая валюта. Это криптовалюта, которая изменила мир финансов и инвестиций.…
В эпоху цифровой революции криптовалюты становятся неотъемлемой частью мировой финансовой системы. Однако, чтобы в полной…
В современном мире цифровая экономика приобретает все большее значение, и криптовалюты становятся неотъемлемой частью финансовой…
Мир криптовалют продолжает свое стремительное развитие, предоставляя пользователям все более удобные и эффективные инструменты для…
С момента взлета интереса к криптовалютам в России в 2024 году появилась необходимость в обзоре…