Русскоязычные посетители даркнет-ресурсов являются целью злоумышленников, распространяющих вредоносную версию браузера TOR. Программа ищет на открытых страницах идентификаторы электронных кошельков и подменяет их адреса. По оценкам специалистов, обнаруживших киберкампанию, при помощи мошеннической схемы преступники смогли украсть более $40 тыс. в цифровой валюте.

Как выяснили исследователи, зловредный интернет-обозреватель распространяется через два сайта, чьи домены созвучны с легитимными TOR-ресурсами. Вредоносная страница демонстрирует посетителю сообщение о необходимости обновить браузер и предлагает скачать свежую версию с механизмом обхода капчи. Мошеннические сайты рекламируются при помощи спама на форумах, а также через веб-сервис Pastebin. В своих сообщениях киберпреступники используют широкий набор ключевых слов, чтобы приводить трафик через распространенные поисковые запросы.

Как злоумышленники похищают цифровую валюту

Попавшись на удочку мошенников, посетитель сайта скачивает на свой компьютер русскоязычный TOR 7.5 для Windows, в котором при помощи настроек были отключены средства обновления, изменен дефолтный User Agent, а также модифицирован один из плагинов. Эксперты выяснили, что расширение HTTPS Everywhere включает в себя JavaScript-сценарий, загружающий дополнительный скрипт, который будет исполнен в контексте текущей страницы.

Эта полезная нагрузка работает как веб-инжект, способный взаимодействовать с содержимым открытой страницы и выполнять различные действия: воровать введенные в формы данные, скрывать или внедрять контент, отображать поддельные сообщения и т. п. В данном случае зловред реагирует на попытку ввода пользовательских идентификаторов платежной системы Qiwi или биткойн-кошелька, и на лету заменяет адрес на принадлежащий злоумышленникам.

Мошенники рассчитывают, что жертва не заметит подмены и совершит платеж по указанным на сайте реквизитам. По словам ИБ-специалистов, с 2017 года в три биткойн-кошелька, принадлежащих злоумышленникам, суммарно поступило 4,8 BTC, что эквивалентно более чем 40 тыс. долларов. Данных о мошеннических транзакциях по Qiwi-кошелькам в настоящее время нет.

Вредоносный вариант TOR-браузера способен загружать и другие видоизмененные расширения, поскольку киберпреступники отключили в нем механизм проверки цифровых подписей обновлений для плагинов. Кроме того, командный сервер программы, который находится в адресном пространстве onion, получает данные об открытых жертвой страницах и теоретически способен менять полезную нагрузку в зависимости от их содержимого.

Это не первый случай, когда злоумышленники прячут свои C&C-серверы в сети TOR. В августе этого года стало известно, что создатели одного из вариантов ботнета Mirai использовали три десятка onion-сайтов для управления вредоносной сетью. Такой подход позволял киберпреступникам скрывать свой центр управления от защитных систем.

Категории: Аналитика, Вредоносные программы