Ukradli 40 tys. dolarów w bitcoinach. Nawet Tor Browser może mieć trojana

Ukradli 40 tys. dolarów w bitcoinach. Nawet Tor Browser może mieć trojana21.10.2019 10:20
Darknet nie jest bezpieczny. Nawet Tor Browser może mieć trojana

Oszuści zarobili już ponad 40 tys. dolarów w bitcoinach, okradając użytkowników darknetu. Sieć Tor zapewnia nam wysoki poziom anonimowości i bezpieczeństwa, ale na nic się to zda, jeśli używasz Tor Browser z trojanem. Analitycy z firmy ESET odkryli podróbkę Tor Browser, podmieniającą adres portfela bitcoin.

Tor Browser z niespodzianką

Tor Browser z trojanem był rozprowadzany za pośrednictwem dwóch rosyjskojęzycznych stron o niewinnie wyglądających domenach. Pierwsza wyświetlała powiadomienie o tym, że została odwiedzona nieaktualną wersją przeglądarki i zachęcała do aktualizacji. Powiadomienie było widoczne, nawet jeśli odwiedzający korzystał z najnowszej wersji Tor Browser. Oczywiście po kliknięciu powiadomienia następowało przekierowanie do fałszywej strony pobierania. Przestępcy twierdzili nawet, że ich wersja przeglądarki pozwala obchodzić zabezpieczenia CAPTCHA, ale to kłamstwo.

Wprawne oko pozna od razu, że coś jest nie tak. Na podrobionej stronie można było pobrać tylko Tor Browser dla Windowsa i miała tylko rosyjską wersję językową. Oszuści korzystali też z tego, że osoby na co dzień posługujące się cyrylicą mogą przegapić błąd w adresie strony. Litera „e” w języku rosyjskim to „je“, więc brak „j” w domenach torproect zupełnie nie przeszkadzał. Kampania może mieć kilka lat – domeny zostały zarejestrowane w 2014 roku. Cyberprzestępcy raczej nie liczyli na literówki (typosquatting) przy ręcznym wpisywaniu adresu strony. [img=image2]

Strony z podrobioną wersją Tor Browser były w 2017 i 2018 roku promowane na forach z użyciem spamowych postów w różnych wątkach, dotyczących darknetu. Wpisy pojawiały się w kontekście handlu w sieci Tor, zachowania prywatności i bardzo popularnego w Rosji obchodzenia cenzury.

Na forach się nie skończyło. Autorzy kampanii zaczęli wykorzystywać serwis pastebin.com, gdzie założyli 4 konta i umieścili teksty zoptymalizowane dla wyszukiwarek, promujące fałszywe strony pobierania. W wycinkach tekstu były hasła związane z narkotykami, kryptowalutami, obchodzeniem cenzury i nazwiskami rosyjskich polityków. Cel był jasny – ofiara szukała popularnego hasła i dzięki magii SEO (dopasowywania tekstu do działania wyszukiwarek) trafiała na tekst z linkiem do fałszywej strony Tor Browser.

Teksty na 4 kontach zostały wyświetlone ponad pół miliona razy, ale trudno powiedzieć, ile osób odwiedziło fałszywe strony.

[1/2] Tekst na Pastebin zoptymalizowany pod SEO (ESET)
[2/2] Tekst na Pastebin zoptymalizowany pod SEO (ESET)

Bitcoiny nie trafiły do właściwych odbiorców

Podczas analizy ataku specjaliści odkryli, że podrobiona Tor Browser to wersja 7.5 przeglądarki z 2018 roku. Osoby mniej zorientowane w temacie mogły przeoczyć różnicę, gdyż program działał bez zarzutu. Pliki binarne nie różniły się od oryginału.

Program Miał jedynie drobny dodatek od atakujących, zaszyty w zmienionych ustawieniach i rozszerzeniach. Po pierwsze, cyberprzestępcy zablokowali możliwość aktualizacji przeglądarki i zmienili nazwę programu ściągającego aktualizacje z updated.exe na updated.exe0. Identyfikator przeglądarki (user-agent) także został zmieniony. Dzięki temu cyberprzestępcy wiedzieli, że strony są odwiedzane przez ich przeglądarki i mogli podejmować dodatkowe działania.

Anton Cherepanov przedstawił ten atak podczas ESET Global Press Event w Bratysławie (fot. A. Rymsza)
Anton Cherepanov przedstawił ten atak podczas ESET Global Press Event w Bratysławie (fot. A. Rymsza)

Kluczowa jest zmiana ustawienia xpinstall.signatures.required, czyli sprawdzania sygnatury instalowanych dodatków. Bez tego cyberprzestępcy mogli modyfikować zachowanie przeglądarki. Rozszerzenie HTTPS Everywhere, będące częścią Tor Browser, zawierało dodatkowy skrypt. Jego zadaniem był kontakt z serwerem kontroli przez sieć Tor i ściągnięcie kolejnej części trojana.

Ściągnięty skrypt mógł pobrać informacje ze strony, wyświetlić fałszywe informacje lub ukryć elementy strony. Cyberprzestępcy wiedzieli, na jakiej stronie był uruchamiany szkodliwy kod, mogli więc dopasować atak do celu. Ograniczyli się jednak do okradania osób odwiedzających najpopularniejsze rosyjskie sklepy w darknecie.

Skrypt podmieniał widoczny adres portfela bitcoin, więc zapłata za towar nie trafiała do sprzedawcy, ale do atakujących.

Jeden ze sklepów z podmienionym adresem portfela bitcoin (ESET)
Jeden ze sklepów z podmienionym adresem portfela bitcoin (ESET)

4,8 BTC w trzech portfelach

Podczas analizy ataku specjaliści z firmy ESET dotarli do 3 portfeli, używanych od 2017 roku. Każdy z nich miał długą listę niewielkich transakcji. W sumie wpłynęło na nie 4,8 bitcoina (po kursie z 21 października to równowartość 38 tys. dolarów).

Realny zysk był wyższy, gdyż podrobiona przeglądarka podmieniała także adresy portfeli QIWI – popularnej w Rosji usługi finansowej.

Chcesz być bezpieczny w sieci? Przed wieloma zagrożeniami ochroni cię BitDefender.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na