Вредоносный рускоязычный браузер распространяется под видом настоящего Tor. Прежде всего, жертвами становятся пользователи рунета. Его обнаружила компания Eset. Поддельный браузер крадет криптовалюту и деньги из кошельков QIWI и биткоиновых кошельков даркнета.

Сейчас на кошельках злоумышленников хранится 4,8 биткоина, это примерно $40 тыс. Но это не все данные. Деньги, похищенные у пользователей QIWI здесь не хранятся, поэтому данных о них нет.

Поддельный российский браузер Tor крадет биткоины и деньги пользователей

Когда жертва заходит в свой кошелек, чтобы пополнить его биткойнами, браузер автоматически подменяет адрес, на который переводятся средства. Вместо кошелька пользователя деньги отправляются на один из трех кошельков злоумышленников.

Поддельный браузер основан на версии Tor Browser 7.5, выпущенной в январе 2018 г. Он очень похож на настоящий Tor, поэтому его трудно отличить его от реального браузера. Бинарные компонентны исходника те же, что и у оригинала. Преступники только изменили некоторые настройки по умолчанию и расширения — например, предотвратили обновления, чтобы вредоносная программа не обновилась до настоящего Tor.

Поддельный российский браузер Tor крадет биткоины и деньги пользователей

Также они модифицировали расширение HTTPS Everywhere, которое включено в браузер, добавив туда скрипт, исполняемый на веб-страницах. Скрипт сообщает C&C-серверу адрес текущей страницы и загружает для исполнения код JavaScript. C&C-сервер находится в «луковом» домене, то есть доступ к нему возможен только с помощью Tor.

Вредоносный браузер распространяется через два сайта. Домены называются tor-browser.org и torproect.org, оба были созданы в 2014 г.

Один из сайтов показывает пользователям сообщение, что их версия Tor Browser устарела и предлагает ее обновить. Сообщение выводится даже в том случае, если у пользователя установлена последняя версия браузера. Когда пользователь нажимает на кнопку «Обновить», его перенаправляют на второй сайт, где можно скачать загрузчик для Windows.

Подписывайтесь на IT Zine в Telegram