Россиян обворовывают
Россияне оказались под угрозой остаться без накоплений в криптовалюте на фоне блокировки сервиса анонимного серфинга Tor в России. Эксперты «Лаборатории Касперского» обнаружили всплеск активности хакеров, распространяющих трояны для кражи криптовалюты под видом программ-установщиков Tor Browser.
Аналитики связали рост популярности этого вида атак именно с блокировкой официального сайта Tor Project. Трояны, которыми они заражают ПК пользователей, следят за буфером обмена и перехватывают криптовалютные транзакции, чтобы затем перенаправить их по нужному киберпреступникам адресу. Об этом эксперты «Касперского» написали в отчете Copy-paste heist or clipboard-injector attacks on cryptousers, опубликованном на их портале SecureList.
Простая схема, придуманная хакерами, обеспечила им очень хороший доход. По подсчетам экспертов «Лаборатории Касперского», они украли, по меньшей мере, $400 тыс. (30,6 млн руб.) в криптовалюте. И это еще без учета токенов Monero, отследить которые невозможно.
Фото: Nebular Group / UnSplash
Не каждый Tor одинаково полезен
В отчете «Лаборатории Касперского» указано, что это далеко не новый вид хакерской атаки — она существует относительно давно, но стала особенно популярной именно в последние месяцы, с тех пор, как Tor Project в очередной раз оказался в «черном списке» Роскомнадзора.
Как все устроено
Трояны, скрытые в таких установщиках, отслеживают в буфере обмена узнаваемые адреса криптовалютных кошельков с помощью регулярных выражений и при обнаружении заменяет его соответствующим адресом криптовалюты, принадлежащим злоумышленникам. Таким образом, пользователь, скопировавший изначально верный адрес кошелька для перевода средств, вставит в соответствующее поле совсем другой кошелек, принадлежащий злоумышленникам. Если отправитель не заметит подмены, то его деньги уйдут по ложному адресу, и вернуть их будет почти невозможно.
Фото: «Лаборатория Касперского»
Выбор языка в зараженном установщике Tor
Эксперты «Лаборатории Касперского» утверждает, что злоумышленники использует тысячи адресов в каждом образце вредоносного ПО, выбранных случайным образом из жестко заданного списка. Это затрудняет отслеживание кошелька, отчетность и блокировку.
Сам троян работает в фоновом режиме и старается ничем не выдать свое присутствие. Хакеры часто присваивают ему пиктограммы известных и популярных в России программ, например, торрент-клиента uTorrent, чтобы отвести от опасной программы подозрение.
Троян прописывается в автозагрузке и активируется при каждом включении компьютера. Вычислить его можно через «Диспетчер задач», но не каждый пользователь ежедневно проверяет список программ или служб, запускающихся автоматически.
Очень востребованный сервис
Для россиян Tor – это эффективное средство, упрощающее доступ к заблокированным в России сайтам. Сервис многим заменяет классические VPN, тоже подвергающиеся гонениям со стороны российских властей.
С технической точки зрения Tor представляет собой сложную систему прокси-серверов для анонимизации веб-серфинга. Пользователь не только получает доступ ко всем нужным ему веб-ресурсам, но и может не беспокоиться, что кто-то сможет проследить его перемещения по интернету.
Фото: «Лаборатория Касперского»
Троян может скрываться под иконкой часто используемой программы
Россияне высоко оценили предлагаемые Tor возможности. По итогам 2021 г., пишет Bleeping Computer, Россия находилась на втором месте в мире по числу активных пользователей Tor – к системе ежедневно подключалось свыше 300 тыс. человек с российским IP-адресом, что на тот момент составляло в пределах 15% всех пользователей Tor. Жители какой страны пользуются Tor чаще россиян, эксперты «Лаборатории Касперского не уточняют».
Десятки тысяч потенциальных жертв
На момент публикации материала Tor Project находился под запретом в России. Из-под которого он периодически выбирался. Эта история началась в декабре 2021 г. и продлилась до мая 2022 г., когда стало известно об отмене первоначального решения о блокировке Tor Project.
Как сообщал CNews, в конце июля 2022 г. повторно власти «помиловали» его, однако менее чем через неделю он вновь оказался в «блэклисте» по решению Ленинского районного суда Саратова.
Хакеры явно решили обернуть решение провинциального суда в свою пользу. По подсчетам «Лаборатории Касперского», в период с августа 2022 г. по февраль 2023 г. было обнаружено около 16 тыс. скачиваний различных установщиков Tor Browser с «сюрпризом» внутри, большая часть из которых была произведена в России и странах Восточной Европы. Были и среди них скачивания в Великобритании, Германии, Нидерландах, Китае и Франции, но таковых оказалось меньшинство.
Фото: «Лаборатория Касперского»
Связь между блокировкой Tor в России и ростом числа скачиваний зараженных установщиков. Наглядно
Проверить ПК на наличие трояна очень просто, и для этого даже не придется исследовать недра «Диспетчера задач». Достаточно лишь скопировать любой произвольный адрес криптокошелька и вставить его, например, в пустой тестовый документ. Если адреса будут различаться, то нужно будет заняться обеззараживанием компьютера с применением современных антивирусов и удалением опасной программы вручную.