ВКС

от 250 руб/мес

Платформа корпоративных

коммуникаций

IBP

по запросу

Универсальная CPM/EPM

self-service платформа

BaaS

От 2 руб/Гб

По вашим правилам

Dedicated, SaaS/PaaS

Low-code

от 667 руб.

Цифровая трансформация

с ELMA365

HRM

от 8500 руб.

HCM-платформа

для автоматизации HR

IaaS

от 249,95 руб.

Для любых задач

Оплата pay-as-you-go

Корпоративные мессенджеры

От 200 руб/мес

Передовое

решение

  • IBP

    по запросу

    Универсальная CPM/EPM

    self-service платформа

  • BaaS

    От 2 руб/Гб

    По вашим правилам

    Dedicated, SaaS/PaaS

  • Low-code

    от 667 руб.

    Цифровая трансформация

    с ELMA365

  • HRM

    от 8500 руб.

    HCM-платформа

    для автоматизации HR

  • IaaS

    от 249,95 руб.

    Для любых задач

    Оплата pay-as-you-go

  • Корпоративные мессенджеры

    От 200 руб/мес

    Передовое

    решение

  • IaaS

    По

    Облако VMware/Брест

    ФЗ-152, SLA 99,99%

  • IaaS

    от 490руб./мес

    VMware / ПО РФ

    SLA 99,95% Pay-as-you-go

  • BPM

    от 12 000 руб/год

    Цифровые процессы

    с комфортом для людей

IaaS

По

Облако VMware/Брест

ФЗ-152, SLA 99,99%

IaaS

от 490руб./мес

VMware / ПО РФ

SLA 99,95% Pay-as-you-go

BPM

от 12 000 руб/год

Цифровые процессы

с комфортом для людей

Kubernetes

От 5,95 руб / час

№1 в рейтинге провайдеров

SLA 99,98%, 152-ФЗ

Корпоративные мессенджеры

от 250 руб/мес

Защищенная платформа

коммуникаций

IP-телефония

от 0 руб.

Продуманная связь

для вашего бизнеса

DBaaS

От 3,98 руб./час

№1 в рейтинге DBaaS

SLA 99,95%, 152-ФЗ, PCI DSS

Поддельный русский Tor Browser ворует биткоины и деньги с кошельков Qiwi

Безопасность Пользователю Интернет E-commerce Интернет-ПО Техника Маркет

Компания ESET обнаружила поддельный русскоязычный Tor Browser, который крадет криптовалюту из кошельков QIWI и биткоиновых кошельков пользователей даркнета. В биткоинах преступникам удалось украсть таким образом около $40 тыс. Вредоносный браузер распространяется под видом настоящего Tor.

Троянский браузер

Исследователи безопасности из компании ESET обнаружили поддельную версию Tor Browser, которая похищает криптовалюту из кошельков своих пользователей. Это русскоязычная версия, поэтому ее жертвами становятся в основном пользователи рунета. По словам исследователей, вредоносный браузер предназначен для модификации кошельков QIWI или биткоиновых кошельков пользователей трех крупнейших русскоязычных рынков даркнета.

Когда жертва заходит в свой кошелек, чтобы пополнить его биткоинами, троянский браузер автоматически подменяет адрес, на который переводятся средства. Вместо кошелька пользователя они отправляются в один из трех биткоиновых кошельков, которые принадлежат злоумышленникам. В настоящий момент в этих кошельках хранится 4,8 биткоина, что равно примерно $40 тыс. Но это не все похищенные средства, так как как здесь не учитываются деньги, украденные у пользователей QIWI.

Технические особенности

Троянский браузер основан на версии Tor Browser 7.5, выпущенной в январе 2018 г. В нем присутствует вся функциональность настоящего Tor, поэтому пользователи без технических навыков не способны отличить его от реального браузера. Все бинарные компоненты исходника сохранены. Преступники просто изменили некоторые настройки по умолчанию и расширения — например, предотвратили обновления, чтобы вредоносная программа не обновилась до настоящего Tor.

Кроме того, они изменили настройки по умолчанию в клиентской программе User-Agent, вписав туда уникальное жестко закодированное значение. Таким образом все жертвы использовали один и тот же User-Agent, что позволяло отследить их со стороны сервера. Кроме того, хакеры отключили проверку цифровой подписи для расширений, чтобы браузер без проблем загружал созданные ими расширения.

Поддельный русскоязычный Tor Browser крадет у пользователей криптовалюту

Также они модифицировали расширение HTTPS Everywhere, которое включено в браузер, добавив туда скрипт, исполняемый на веб-страницах. Скрипт сообщает C&C-серверу адрес текущей страницы и загружает для исполнения код JavaScript. C&C-сервер находится в «луковом» домене, то есть доступ к нему возможен только с помощью Tor.

Схема распространения

Вредоносный браузер распространяется через два сайта, которые выглядят так, как будто распространяют официальную версию Tor. Домены называются tor-browser.org и torproect.org, оба были созданы в 2014 г. Название torproect.org отличается от официального сайта torproject.org только отсутствием буквы «j». У русскоязычных жертв оно не вызывает подозрений благодаря сходству с русским словом «проект».

Один из сайтов показывает пользователям сообщение, что их версия Tor Browser устарела и предлагает ее обновить. Сообщение выводится даже в том случае, если у пользователя установлена самая последняя версия браузера. Когда пользователь нажимает на кнопку «Обновить», его перенаправляют на второй сайт, где можно скачать загрузчик для Windows. Судя по всему, это единственная операционная система, с которой работает поддельный Tor.

Рекламная кампания

В 2017 г. и начале 2018 г. преступники продвигали фальшивые сайты с помощью спама на русскоязычных форумах. Рекламные сообщения были посвящены различным темам, в том числе рынкам даркнета, криптовалютам, приватности в интернете и обходу блокировок. В некоторых сообщениях упоминался Роскомнадзор.

Весной 2018 г. преступники начали продвигать фальшивые сайты с помощью сервиса pastebin.com. Они создали четыре аккаунта и сгенерировали большое количество сообщений, сформулированных таким образом, чтобы попадать в верхние строчки результатов поиска на темы наркотиков, криптовалют и обхода цензуры, а также по именам российских политиков.

В этих постах преступники рекламировали достоинства Tor Browser как средства защиты приватности в интернете и давали ссылку на фальшивый сайт с вредоносным браузером, утверждая, что это официальный сайт. В общей сложности данные сообщения были просмотрены пользователями 500 тыс. раз, но невозможно определить, сколько пользователей действительно скачало браузер.

Короткая ссылка