Злоумышленники нацелились на русскоязычных пользователей Tor

Специалисты ESET обнаружили кампанию по распространению вредоносной версии браузера Tor. Операция нацелена на русскоязычных пользователей анонимной сети. На ресурсе Pastebin вредоносное ПО рекламируется как «русскоязычная версия» браузера. При этом рекламные объявления оптимизированы таким образом, что появляются в первых строчках поисковой выдачи по таким запросам как «наркотики», «криптовалюта», «обход цензуры» и «российские политики». «Русскоязычный Tor-браузер» также рекламируется за счет спам-рассылок. Дополнительным его преимуществом объявляется то, что он якобы позволяет обходить проверку CAPTCHA, обеспечивая более быструю загрузку страниц (что не соответствует действительности).

Вредоносные ссылки ведут на домены tor-browser.org и torproect.org, вполне способные ввести в заблуждение невнимательного пользователя (следует помнить, что реальный домен проекта Tor – torproject.org). Созданные злоумышленниками веб-страницы, дизайн которых имитирует дизайн оригинального сайта Tor Project, тут же выводят предупреждение на русском языке о необходимости обновления браузера Tor. Если пользователь соглашается на это, на его устройство загружается вредоносная версия, скомпилированная на основе официальной версии 7.5, выпущенной в январе прошлого года. Внедренный в нее javascript-код автоматически подменяет все обнаруженные адреса криптовалютных кошельков на адреса кошельков, принадлежащих организаторам атаки. Таким образом, любые транзакции, совершаемые с инфицированного устройства, идут в карман киберпреступников. Помимо этого, вредоносный браузер способен подменять данные получателей платежей и в платежном сервисе Qiwi. Наконец, он может применяться и для отслеживания активности пользователей в «темной сети», уверенных в своей анонимности.

Исследователи выявили три криптовалютных кошелька, ассоциированных с организаторами атаки. Общая сумма поступлений на них уже превысила 40 тысяч долларов в криптовалюте биткойн. А с учетом того, что под угрозой и платежи в сервисе Qiwi, реальный доход организаторов этой атаки может быть и еще выше.


Источник:  Bleepingcomputer

Возврат к списку