Исследователи кибербезопасности обнаружили поддельную версию Tor Browser, которая похищает криптовалюту пользователей. Так как версия русскоязычная, ее жертвами становятся в основном пользователи рунета. По словам исследователей, вредоносный браузер предназначен для модификации кошельков QIWI или биткоиновых кошельков пользователей трех крупнейших русскоязычных рынков даркнета. Он основан на версии Tor Browser 7.5, выпущенной в январе 2018 года. В нем присутствует вся функциональность настоящего Tor, поэтому пользователи без технических навыков не способны отличить его от реального браузера. Все бинарные компоненты исходника сохранены. Преступники просто изменили некоторые настройки по умолчанию и расширения — например, предотвратили обновления, чтобы вредоносная программа не обновилась до настоящего Tor.
Пользователь авторизуется в своем кошельке, чтобы пополнить его биткоинами, а браузер автоматически подменяет адрес, на который переводятся средства. В настоящий момент в этих кошельках хранится 4,8 биткоина, что равно примерно $40 тыс. Но это не все похищенные средства, так как эта сумма не учитывает деньги, украденные у пользователей QIWI.
Кроме того, они изменили настройки по умолчанию в клиентской программе User-Agent, вписав туда уникальное жестко закодированное значение. Таким образом все жертвы использовали один и тот же User-Agent, что позволяло отследить их со стороны сервера. Кроме того, хакеры отключили проверку цифровой подписи для расширений, чтобы браузер без проблем загружал созданные ими расширения.
Также они модифицировали расширение HTTPS Everywhere, которое включено в браузер, добавив туда скрипт, исполняемый на веб-страницах. Скрипт сообщает C&C-серверу адрес текущей страницы и загружает для исполнения код JavaScript. C&C-сервер находится в «луковом» домене, то есть доступ к нему возможен только с помощью Tor.
В 2017 году и начале 2018 года киберпреступники продвигали фальшивые сайты, на которых распространялся фальшивый браузер, с помощью спама на русскоязычных форумах. Рекламные сообщения были посвящены различным темам, в том числе рынкам даркнета, криптовалютам, приватности в интернете и обходу блокировок. В некоторых сообщениях упоминался Роскомнадзор.
В 2018 году весной киберпреступники начали продвигать фальшивые сайты с помощью сервиса pastebin.com. Они создали четыре аккаунта и сгенерировали большое количество сообщений, сформулированных таким образом, чтобы попадать в верхние строчки результатов поиска на темы наркотиков, криптовалют и обхода цензуры, а также по именам российских политиков.
В этих постах преступники рекламировали достоинства Tor Browser как средства защиты приватности в интернете и давали ссылку на фальшивый сайт с вредоносным браузером, утверждая, что это официальный сайт. В общей сложности данные сообщения были просмотрены пользователями 500 тыс. раз, но невозможно определить, сколько пользователей действительно скачало браузер.
https://bitdefender.ru/news/troyanskij-tor-brauzer-voruet-bitkoiny-i-dengi-s-koshelkov-qiwi/