м исследователей, вредоносный браузер предназначен для модификации кошельков QIWI или биткоиновых кошельков пользователей трех крупнейших русскоязычных рынков даркнета.Когда жертва заходит в свой кошелек, чтобы пополнить его биткоинами, троянский браузер автоматически подменяет адрес, на который переводятся средства. Вместо кошелька пользователя они отправляются в один из трех биткоиновых кошельков, которые принадлежат злоумышленникам. В настоящий момент в этих кошельках хранится 4,8 биткоина, что равно примерно $40 тыс. Но это не все похищенные средства, так как как здесь не учитываются деньги, украденные у пользователей QIWI.Технические особенностиТроянский браузер основан на версии Tor Browser 7.5, выпущенной в январе 2018 г. В нем присутствует вся функциональность настоящего Tor, поэтому пользователи без технических навыков не способны отличить его от реального браузера. Все бинарные компоненты исходника сохранены. Преступники просто изменили некоторые настройки по умолчанию и расширения — например, предотвратили обновления, чтобы вредоносная программа не обновилась до настоящего Tor.Кроме того, они изменили настройки по умолчанию в клиентской программе User-Agent, вписав туда уникальное жестко закодированное значение. Таким образом все жертвы использовали один и тот же User-Agent, что позволяло отследить их со стороны сервера. Кроме того, хакеры отключили проверку цифровой подписи для расширений, чтобы браузер без проблем загружал созданные ими расширения.Поддельный русскоязычный Tor Browser крадет у пользователей криптовалютуТакже они модифицировали расширение HTTPS Everywhere, которое включено в браузер, добавив туда скрипт, исполняемый на веб-страницах. Скрипт сообщает C&C-серверу адрес текущей страницы и загружает для исполнения код JavaScript. C&C-сервер находится в «луковом» домене, то есть доступ к нему возможен только с помощью Tor.Схема распространенияВредоносный браузер распространяется через два сайта, которые выглядят так, как будто распространяют официальную версию Tor. Домены называются tor-browser.org и torproect.org, оба были созданы в 2014 г. Название torproect.org отличается от официального сайта torproject.org только отсутствием буквы «j». У русскоязычных жертв оно не вызывает подозрений благодаря сходству с русским словом «проект».Модуль «Управление уязвимостями» на платформе Security Vision: как выявить и устранить уязвимости в своей ИТ-инфраструктуреБезопасностьОдин из сайтов показывает пользователям сообщение, что их версия Tor Browser устарела и предлагает ее обновить. Сообщение выводится даже в том случае, если у пользователя установлена самая последняя версия браузера. Когда пользователь нажимает на кнопку «Обновить», его перенаправляют на второй сайт, где можно скачать загрузчик для Windows. Судя по всему, это единственная операционная система, с которой работает поддельный Tor.Рекламная кампанияВ 2017 г. и начале 2018 г. преступники продвигали фальшивые сайты с помощью спама на русскоязычных форумах. Рекламные сообщения были посвящены различным темам, в том числе рынкам даркнета, криптовалютам, приватности в интернете и обходу блокировок. В некоторых сообщениях упоминался Роскомнадзор.Весной 2018 г. преступники начали продвигать фальшивые сайты с помощью сервиса pastebin.com. Они создали четыре аккаунта и сгенерировали большое количество сообщений, сформулированных таким образом, чтобы попадать в верхние строчки результатов поиска на темы наркотиков, криптовалют и обхода цензуры, а также по именам российских политиков.В этих постах преступники рекламировали достоинства Tor Browser как средства защиты приватности в интернете и давали ссылку на фальшивый сайт с вредоносным браузером, утверждая, что это официальный сайт. В общей сложности данные сообщения были просмотрены пользователями 500 тыс. раз, но невозможно определить, сколько пользователей действительно скачало браузер.Валерия Шмырова
