Фиктивный браузер Tor крадёт биткойны у русскоязычных пользователей
Исследователи киберпреступности обнаружили так называемую «троянскую версию» браузера Tor, ответственную за кражу 40 000 долларов у российских пользователей. Заражённая версия браузера распространяется через форумы даркнета.
По словам исследователей из ESET, мошенники направляли пользователей на один из трёх доменов, имитирующих официальный сайт проекта Tor, torproject.org. Один из них выглядит очень похоже на официальный домен: torproect.org (обратите внимание на пропущенный «j»). Поддельный веб-сайт проекта содержит описание браузера Tor, а также ссылку для загрузки модифицированной версии браузера. Ссылка распространяется с tor-browser.org.
Скриншот со страницы поддельного веб-сайта Tor Browser.
Людей заманивают на фишинг провокационными сообщениями в стиле:
Если вы хотите путешествовать по даркнету и не опасаться за свою безопасность, тогда этот наиболее защищённый браузер для вас!
Неизвестно, сколько пользователей загрузили троянскую версию браузера Tor, однако сообщения мошенников просмотрены порядка 500 000 раз.
Поддельная версия браузера основана на Tor Browser 7.5 и является полнофункциональным браузером. Исследователи ESET сообщили, что бинарный файл здесь в точности такой же, как в официальном браузере. Наиболее существенным изменением являются параметры Firefox xpinstall.signatures.required, которые позволяют устанавливать неподписанные и потенциально вредоносные надстройки. Мошенники изменили дополнение HTTPS Everywhere, чтобы внедрить JavaScript в каждую страницу, которую просматривала жертва.
Этот внедрённый скрипт уведомляет сервер C & C о текущем адресе веб-страницы и загружает JavaScript, который выполняется в контексте текущей страницы. Сервер C & C расположен в луковом домене, то есть доступен только через Tor.
Поскольку злоумышленники знают, какой веб-сайт в настоящее время посещает жертва, они могут выбирать файлы JavaScript для разных веб-сайтов. Однако в данном случае это не было так: во время исследования полезная нагрузка JavaScript всегда была одинаковой для всех посещённых страниц.
JavaScript может взаимодействовать с контентом сайта и выполнять определённые действия. Например, скрывать или вставлять содержимое посещённой страницы, отображать поддельные сообщения и т.д.
Как и фишинговые прокси, которые в настоящее время крадут средства у пользователей Empire Market, фальшивый браузер Tor меняет адреса счетов на трёх российских рынках. Вместо биткоин-адреса своего рыночного кошелька пользователи видят один из трёх адресов, контролируемых людьми, ответственными за эту кампанию.
Вот эти кошельки:
3338V5E5DUetyfhTyCRPZLB5eASVdkEqQQ
3CEtinamJCciqSEgSLNoPpywWjviihYqrw
1FUPnTZNBmTJrSTvJFweJvUKxRVcaMG8oS
«На данный момент общая сумма переведённых на кошельки мошенников средств составляет 4,8 биткойн, это более чем 40 000 долларов США. Следует отметить, что реальная сумма украденных денег выше, поскольку троянский Tor Browser также изменяет кошельки QIWI», - пояснили исследователи ESET.