Троянский браузер
Исследователи безопасности из компании ESET обнаружили поддельную версию Tor Browser, которая похищает криптовалюту из кошельков своих пользователей. Это русскоязычная версия, поэтому ее жертвами становятся в основном пользователи рунета. По словам исследователей, вредоносный браузер предназначен для модификации кошельков QIWI или биткоиновых кошельков пользователей трех крупнейших русскоязычных рынков даркнета.
Когда жертва заходит в свой кошелек, чтобы пополнить его биткоинами, троянский браузер автоматически подменяет адрес, на который переводятся средства. Вместо кошелька пользователя они отправляются в один из трех биткоиновых кошельков, которые принадлежат злоумышленникам. В настоящий момент в этих кошельках хранится 4,8 биткоина, что равно примерно $40 тыс. Но это не все похищенные средства, так как как здесь не учитываются деньги, украденные у пользователей QIWI.
Технические особенности
Троянский браузер основан на версии Tor Browser 7.5, выпущенной в январе 2018 г. В нем присутствует вся функциональность настоящего Tor, поэтому пользователи без технических навыков не способны отличить его от реального браузера. Все бинарные компоненты исходника сохранены. Преступники просто изменили некоторые настройки по умолчанию и расширения — например, предотвратили обновления, чтобы вредоносная программа не обновилась до настоящего Tor.
Кроме того, они изменили настройки по умолчанию в клиентской программе User-Agent, вписав туда уникальное жестко закодированное значение. Таким образом все жертвы использовали один и тот же User-Agent, что позволяло отследить их со стороны сервера. Кроме того, хакеры отключили проверку цифровой подписи для расширений, чтобы браузер без проблем загружал созданные ими расширения.
Также они модифицировали расширение HTTPS Everywhere, которое включено в браузер, добавив туда скрипт, исполняемый на веб-страницах. Скрипт сообщает C&C-серверу адрес текущей страницы и загружает для исполнения код JavaScript. C&C-сервер находится в «луковом» домене, то есть доступ к нему возможен только с помощью Tor.
Схема распространения
Вредоносный браузер распространяется через два сайта, которые выглядят так, как будто распространяют официальную версию Tor. Домены называются tor-browser.org и torproect.org, оба были созданы в 2014 г. Название torproect.org отличается от официального сайта torproject.org только отсутствием буквы «j». У русскоязычных жертв оно не вызывает подозрений благодаря сходству с русским словом «проект».
Один из сайтов показывает пользователям сообщение, что их версия Tor Browser устарела и предлагает ее обновить. Сообщение выводится даже в том случае, если у пользователя установлена самая последняя версия браузера. Когда пользователь нажимает на кнопку «Обновить», его перенаправляют на второй сайт, где можно скачать загрузчик для Windows. Судя по всему, это единственная операционная система, с которой работает поддельный Tor.
Рекламная кампания
В 2017 г. и начале 2018 г. преступники продвигали фальшивые сайты с помощью спама на русскоязычных форумах. Рекламные сообщения были посвящены различным темам, в том числе рынкам даркнета, криптовалютам, приватности в интернете и обходу блокировок. В некоторых сообщениях упоминался Роскомнадзор.
Весной 2018 г. преступники начали продвигать фальшивые сайты с помощью сервиса pastebin.com. Они создали четыре аккаунта и сгенерировали большое количество сообщений, сформулированных таким образом, чтобы попадать в верхние строчки результатов поиска на темы наркотиков, криптовалют и обхода цензуры, а также по именам российских политиков.
В этих постах преступники рекламировали достоинства Tor Browser как средства защиты приватности в интернете и давали ссылку на фальшивый сайт с вредоносным браузером, утверждая, что это официальный сайт. В общей сложности данные сообщения были просмотрены пользователями 500 тыс. раз, но невозможно определить, сколько пользователей действительно скачало браузер.
Поделиться
