Киберзлоумышленники несколько лет распространяли заражённый браузер Tor для слежки за русскоязычными пользователями и кражи их биткоинов. Троянизированный браузер распространялся на различных форумах, а также на сайте pastebin.com в качестве официальной русскоязычной версии.
Этот малварь позволяет злоумышленникам видеть, какие сайты жертва посещает в данный момент. Теоретически они также могут менять содержимое посещаемой страницы, перехватывать вводимые данные и показывать фейковые сообщения на сайтах, — объясняет Антон Черепанов, старший исследователь компании ESET, обнаружившей вредоносную кампанию.
Жертвы на одной из фишинговых страниц получали предупреждение о необходимости скачать новую версию браузера Tor, замаскированную под оригинал. После установки она становилась полностью функциональным приложением. Злоумышленники внесли в неё ряд изменений для осуществления нужных им действий.
Так, в обновлённом браузере установлена блокировка функции обновления, а также отключена проверка цифровой подписи дополнений, что позволяло атакующим вносить изменения в любой аддон. Преступники также внесли определённые изменения для оповещения командного сервера о посещаемых жертвой страницах.
Обнаруженный ESET вредоносный компонент был нацелен на три крупнейшие торговые площадки в русскоязычном сегменте даркнета: он пробовал изменить адреса кошельков платежной системы QIWI, автоматически подменяя оригинальный адрес кошелька на адрес преступников при оплате покупки биткоинами.
Эксперты в ходе расследования обнаружили три кошелька со множеством мелких транзакций, а общая сумма переведённых на эти кошельки средств составила 4,8 биткоина (2,5 млн руб.). При этом, как отметил Черепанов, реальная сумма украденных средств гораздо больше.
Ранее News.ru сообщил, что злоумышленники применяли шпионскую платформу Attor для таргетированных атак на пользователей из России и Восточной Европы. Они продолжались как минимум с 2013 года.
Платформа для слежки анализирует активные процессы (популярные браузеры, мессенджеры, почтовые приложения, сервис IP-телефонии, соцсети «Одноклассники» и «ВКонтакте») и после обнаружения одного из них делает снимки экрана и отправляет их злоумышленникам.
