Троянские браузеры Tor атакуют россиян с помощью вредоносных программ для кражи криптовалюты

Исследователи зафиксировали всплеск активности троянизированных установщиков Tor Browser, которые атакуют россиян и жителей Восточной Европы. ПО содержит зловред для захвата буфера обмена, которое крадет криптовалютные транзакции зараженных пользователей.

Троянские браузеры Tor атакуют россиян с помощью вредоносных программ для кражи криптовалюты. Фото: из архива компании

Аналитики «Лаборатории Касперского» предупреждают, что, хотя эта атака не является новой или особенно изобретательной, она по-прежнему эффективна и широко распространена, заражая многих пользователей по всему миру.

Хотя эти вредоносные установщики Tor нацелены на страны по всему миру, в «Лаборатории Касперскиого» говорит, что большинство из них атакуют жителей России и Восточной Европы.

Из сообщения компании:

«Мы связываем это с запретом сайта Tor Project в России в конце 2021 года, о чем сообщил сам Tor Project. Согласно последнему исследованию, Россия была второй по величине страной по количеству пользователей Tor в 2021 году (более 300 тыс. пользователей в день, или 15% всех пользователей Tor)».

Tor Browser — это специализированный веб-браузер, который позволяет пользователям просматривать веб-страницы анонимно, скрывая свой IP-адрес и шифруя свой трафик.

Tor также может использоваться для доступа к специальным луковым доменам, также известным как «даркнет», которые не индексируются стандартными поисковыми системами и не доступны через обычные браузеры.

Владельцы криптовалюты могут использовать браузер Tor либо для повышения своей конфиденциальности и анонимности при транзакциях с криптовалютами, либо потому, что они хотят получить доступ к нелегальным сервисам темного веб-рынка, которые оплачиваются в криптовалюте.

Зараженные троянами установки Tor обычно рекламируются как «усиленные безопасностью» версии официального поставщика Tor Project или предлагаются пользователям в странах, где Tor запрещен, что затрудняет загрузку официальной версии.

В «Лаборатории Касперского» говорят, что эти установщики содержат стандартную версию браузера Tor, хотя в большинстве случаев устаревшую, а также дополнительный исполняемый файл, спрятанный в защищенном паролем архиве RAR, настроенном на самораспаковку в системе пользователя.

Установщики также локализованы с такими именами, как «torbrowser_ru.exe», и содержат языковые пакеты, позволяющие пользователям выбирать предпочитаемый язык.

В то время как стандартный браузер Tor запускается на переднем плане, архив извлекает вредоносное ПО в фоновом режиме и запускает его как новый процесс, а также регистрирует его в автозапуске системы. Кроме того, вредоносное ПО использует иконку uTorrent, чтобы скрыться в взломанной системе.

В компании обнаружили 16 тыс. вариантов таких установщиков Tor в период с августа 2022 года по февраль 2023 года в 52 странах на основе данных пользователей его продуктов безопасности.

Хотя большинство нацелено на Россию и Восточную Европу, они также были замечены в США, Германии, Китае, Франции, Нидерландах и Великобритании.

Поскольку криптовалютные адреса длинные и сложные для ввода, обычно их сначала копируют в буфер обмена, а затем вставляют в другую программу или на веб-сайт.

Вредоносное ПО отслеживает в буфере обмена узнаваемые адреса криптовалютных кошельков и заменяет его соответствующим адресом кошелька, принадлежащего злоумышленникам.

Когда пользователь вставляет адрес криптовалюты, вместо него будет вставлен адрес злоумышленника, что позволит им украсть отправленную транзакцию.

В «Лаборатории Касперского» утверждают, что злоумышленник использует тысячи адресов в каждом образце вредоносного ПО, выбранных случайным образом из жестко заданного списка. Это затрудняет отслеживание кошелька, отчетность и блокировку.

Команда компании по кибербезопасности распаковала сотни образцов вредоносных программ, которые она собрала для извлечения заменяющих адресов, и обнаружила, что хакеры украли почти 400 тыс. долларов, не считая Monero, который невозможно отследить.

Это деньги, украденные только в рамках одной кампании, проводимой конкретным автором вредоносного ПО, и почти наверняка есть другие кампании, использующие троянские установщики для другого программного обеспечения.

Чтобы обезопасить себя от похитителей буфера обмена, устанавливайте программное обеспечение только из надежных/официальных источников, в данном случае с веб-сайта проекта Tor, предупреждают специалисты.

Простой тест, чтобы проверить, не заражена ли ваша системы — это скопировать и вставить этот адрес в блокнот: bc1heymalwarehowaboutyoureplacethisaddress.

Если он изменен, это означает, что ваша система скомпрометирована.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме