REUTERS

Компанія ESET — лідер у галузі інформаційної безпеки — повідомляє про виявлення фальшивої версії браузера Tor, який кіберзлочинці використовують для викрадення криптовалюти Bitcoin у покупців даркнет-ринків та шпигування за користувачами.

«Це шкідливе програмне забезпечення дозволяє злочинцям переглядати відвідані жертвою веб-сайти. Теоретично воно може змінювати вміст відвідуваної сторінки, перехоплювати дані, які жертва заповнює у форми, та відображати підроблені повідомлення. Однак ми зафіксували використання лише однієї функціональної можливості — зміни адрес гаманців криптовалюти», — пояснюють спеціалісти ESET.

Зміна оригінальної адреси Bitcoin на адресу злочинців відбувається під час поповнення жертвою рахунку гаманця у профілі.

Відео дня

«Під час нашого дослідження ми виявили три гаманці Bitcoin, які використовуються в цій кампанії з 2017 року. Кожен такий гаманець містить порівняно велику кількість транзакцій на незначні суми; ми вважаємо це підтвердженням того, що ці гаманці справді використовувалися підробною версією браузера Tor», — коментують спеціалісти ESET.

На момент завершення досліджень загальна сума отриманих коштів на всі три гаманці становила 4.8 Bitcoin, що відповідає приблизно 40 000 доларам США. Слід зазначити, що реальна сума викрадених грошей значно вища, оскільки підробна версія браузера Tor також змінює адреси гаманців QIWI.

Кампанія націлена на російськомовних користувачів анонімної мережі Tor. Своє шкідливе програмне забезпечення кіберзлочинці рекламували на різних форумах як офіційну російськомовну версію браузера Tor. Однак справжньою ціллю зловмисників було заманити жертв на кілька шкідливих веб-сайтів, замаскованих під легітимні.

«На першому веб-сайті користувач отримує попередження про застарілу версію браузера Tor. Після цього жертва перенаправлялася на другий веб-сайт із інсталятором», – зазначають спеціалісти ESET.

Фактично підробна версія браузера Tor є повнофункціональним додатком. Злочинці не змінювали бінарні компоненти браузера Тор, натомість вони внесли зміни в налаштування та розширення. Як результат, пересічні користувачі, ймовірно, не помічали різниці між оригінальною та фальшивою версією.

Зокрема в підробній версії було вимкнено всі види оновлень у налаштуваннях та перевірку цифрових підписів, що дозволяло зловмисникам змінювати будь-яке розширення та безперешкодно завантажувати його браузером. Злочинці також внесли зміни, які дозволяли сповіщати командний сервер (C&C) про поточну веб-сторінку, яку відвідує жертва, і доставляти в браузер компоненти JavaScript.

Детальніша інформація про загрозу доступна за посиланням.