Ukradli 40 tys. dolarów w bitcoinach. Nawet Tor Browser może mieć trojana

Oszuści zarobili już ponad 40 tys. dolarów w bitcoinach, okradając użytkowników darknetu. Sieć Tor zapewnia nam wysoki poziom anonimowości i bezpieczeństwa, ale na nic się to zda, jeśli używasz Tor Browser z trojanem. Analitycy z firmy ESET odkryli podróbkę Tor Browser, podmieniającą adres portfela bitcoin.

Darknet nie jest bezpieczny. Nawet Tor Browser może mieć trojana
Darknet nie jest bezpieczny. Nawet Tor Browser może mieć trojana

21.10.2019 | aktual.: 22.10.2019 10:28

Tor Browser z niespodzianką

Tor Browser z trojanem był rozprowadzany za pośrednictwem dwóch rosyjskojęzycznych stron o niewinnie wyglądających domenach. Pierwsza wyświetlała powiadomienie o tym, że została odwiedzona nieaktualną wersją przeglądarki i zachęcała do aktualizacji. Powiadomienie było widoczne, nawet jeśli odwiedzający korzystał z najnowszej wersji Tor Browser. Oczywiście po kliknięciu powiadomienia następowało przekierowanie do fałszywej strony pobierania. Przestępcy twierdzili nawet, że ich wersja przeglądarki pozwala obchodzić zabezpieczenia CAPTCHA, ale to kłamstwo.

Wprawne oko pozna od razu, że coś jest nie tak. Na podrobionej stronie można było pobrać tylko Tor Browser dla Windowsa i miała tylko rosyjską wersję językową. Oszuści korzystali też z tego, że osoby na co dzień posługujące się cyrylicą mogą przegapić błąd w adresie strony. Litera „e” w języku rosyjskim to „je“, więc brak „j” w domenach torproect zupełnie nie przeszkadzał. Kampania może mieć kilka lat – domeny zostały zarejestrowane w 2014 roku. Cyberprzestępcy raczej nie liczyli na literówki (typosquatting) przy ręcznym wpisywaniu adresu strony. [img=image2]

Strony z podrobioną wersją Tor Browser były w 2017 i 2018 roku promowane na forach z użyciem spamowych postów w różnych wątkach, dotyczących darknetu. Wpisy pojawiały się w kontekście handlu w sieci Tor, zachowania prywatności i bardzo popularnego w Rosji obchodzenia cenzury.

Na forach się nie skończyło. Autorzy kampanii zaczęli wykorzystywać serwis pastebin.com, gdzie założyli 4 konta i umieścili teksty zoptymalizowane dla wyszukiwarek, promujące fałszywe strony pobierania. W wycinkach tekstu były hasła związane z narkotykami, kryptowalutami, obchodzeniem cenzury i nazwiskami rosyjskich polityków. Cel był jasny – ofiara szukała popularnego hasła i dzięki magii SEO (dopasowywania tekstu do działania wyszukiwarek) trafiała na tekst z linkiem do fałszywej strony Tor Browser.

Teksty na 4 kontach zostały wyświetlone ponad pół miliona razy, ale trudno powiedzieć, ile osób odwiedziło fałszywe strony.

  • Tekst na Pastebin zoptymalizowany pod SEO (ESET)
  • Tekst na Pastebin zoptymalizowany pod SEO (ESET)
[1/2] Tekst na Pastebin zoptymalizowany pod SEO (ESET)

Bitcoiny nie trafiły do właściwych odbiorców

Podczas analizy ataku specjaliści odkryli, że podrobiona Tor Browser to wersja 7.5 przeglądarki z 2018 roku. Osoby mniej zorientowane w temacie mogły przeoczyć różnicę, gdyż program działał bez zarzutu. Pliki binarne nie różniły się od oryginału.

Program Miał jedynie drobny dodatek od atakujących, zaszyty w zmienionych ustawieniach i rozszerzeniach. Po pierwsze, cyberprzestępcy zablokowali możliwość aktualizacji przeglądarki i zmienili nazwę programu ściągającego aktualizacje z updated.exe na updated.exe0. Identyfikator przeglądarki (user-agent) także został zmieniony. Dzięki temu cyberprzestępcy wiedzieli, że strony są odwiedzane przez ich przeglądarki i mogli podejmować dodatkowe działania.

Anton Cherepanov przedstawił ten atak podczas ESET Global Press Event w Bratysławie (fot. A. Rymsza)
Anton Cherepanov przedstawił ten atak podczas ESET Global Press Event w Bratysławie (fot. A. Rymsza)

Kluczowa jest zmiana ustawienia xpinstall.signatures.required, czyli sprawdzania sygnatury instalowanych dodatków. Bez tego cyberprzestępcy mogli modyfikować zachowanie przeglądarki. Rozszerzenie HTTPS Everywhere, będące częścią Tor Browser, zawierało dodatkowy skrypt. Jego zadaniem był kontakt z serwerem kontroli przez sieć Tor i ściągnięcie kolejnej części trojana.

Ściągnięty skrypt mógł pobrać informacje ze strony, wyświetlić fałszywe informacje lub ukryć elementy strony. Cyberprzestępcy wiedzieli, na jakiej stronie był uruchamiany szkodliwy kod, mogli więc dopasować atak do celu. Ograniczyli się jednak do okradania osób odwiedzających najpopularniejsze rosyjskie sklepy w darknecie.

Skrypt podmieniał widoczny adres portfela bitcoin, więc zapłata za towar nie trafiała do sprzedawcy, ale do atakujących.

Jeden ze sklepów z podmienionym adresem portfela bitcoin (ESET)
Jeden ze sklepów z podmienionym adresem portfela bitcoin (ESET)

4,8 BTC w trzech portfelach

Podczas analizy ataku specjaliści z firmy ESET dotarli do 3 portfeli, używanych od 2017 roku. Każdy z nich miał długą listę niewielkich transakcji. W sumie wpłynęło na nie 4,8 bitcoina (po kursie z 21 października to równowartość 38 tys. dolarów).

Realny zysk był wyższy, gdyż podrobiona przeglądarka podmieniała także adresy portfeli QIWI – popularnej w Rosji usługi finansowej.

Chcesz być bezpieczny w sieci? Przed wieloma zagrożeniami ochroni cię BitDefender.

Programy

Zobacz więcej
Wybrane dla Ciebie
Komentarze (36)