Ένα κύμα trojanized Tor Browser installers στοχεύει Ρώσους και Ανατολικοευρωπαίους με κακόβουλο λογισμικό που κλέβει μολυσμένες συναλλαγές κρυπτονομισμάτων χρηστών.
Οι ερευνητές της Kaspersky μας προειδοποιούν ότι ενώ αυτή η επίθεση μπορεί να μην είναι καινοτόμος ή επαναστατική, εξακολουθεί να είναι μια απειλή που πρέπει να λάβουμε σοβαρά υπόψη. Πρόκειται για ένα διαρκές πρόβλημα, όπως αποδεικνύεται από την επικράτησή του σε παγκόσμιο επίπεδο – πολλοί χρήστες έχουν πέσει θύματα του ιού.
Μια παγκόσμια επιδημία κακόβουλων προγραμμάτων εγκατάστασης του Tor επηρεάζει σήμερα χρήστες από πολλές χώρες, ωστόσο, η Kaspersky αναφέρει ότι η Ρωσία και η Ανατολική Ευρώπη είναι οι κύριοι στόχοι.
Δείτε επίσης: IcedID: Νέες παραλλάγες μεταδίδουν malware
Κακόβουλα προγράμματα εγκατάστασης του προγράμματος περιήγησης Tor
Αν ψάχνετε για έναν τρόπο να προστατεύσετε τα δεδομένα σας κατά την πλοήγησή σας στο διαδίκτυο, το Tor Browser είναι εδώ για να σας βοηθήσει. Με την απόκρυψη της διεύθυνσης IP σας και την κρυπτογράφηση της κυκλοφορίας, αυτό το εξειδικευμένο πρόγραμμα περιήγησης προσφέρει στους χρήστες απαράμιλλα επίπεδα ιδιωτικότητας και ασφάλειας στο διαδίκτυο.
Το Tor μπορεί να χρησιμοποιηθεί για την πρόσβαση σε συγκεκριμένα onion domains, γνωστά και ως “dark web”, τα οποία είναι απρόσιτα για τις κανονικές μηχανές αναζήτησης και τα προγράμματα περιήγησης.
Οι κάτοχοι κρυπτογράφησης μπορεί να επωφεληθούν από τα χαρακτηριστικά ανωνυμίας του προγράμματος περιήγησης Tor κατά τη διενέργεια συναλλαγών κρυπτογράφησης ή μπορεί να χρησιμοποιούν τις υπηρεσίες αγοράς dark web market που δέχονται κρυπτονομίσματα ως πληρωμή. Παρ’ όλα αυτά, η ενασχόληση με οποιαδήποτε από τις δύο δραστηριότητες θα τους βοηθήσει να διατηρήσουν την ιδιωτική τους ζωή και να προστατευτούν από πιθανούς κινδύνους.
Οι εγκαταστάσεις Trojanized Tor συνήθως προωθούνται ως εκδόσεις “ενισχυμένη με ασφάλεια” του επίσημου προμηθευτή, Tor Project, ή προωθούνται σε χρήστες σε χώρες όπου απαγορεύεται το Tor, καθιστώντας δυσκολότερη τη λήψη της επίσημης έκδοσης.
Δείτε επίσης: Crown Resorts: Παραβιάστηκε από το Clop ransomware μέσω GoAnywhere zero-day
Σύμφωνα με την Kaspersky, οι εν λόγω εγκαταστάτες περιέχουν μια συμβατική αλλά ξεπερασμένη έκδοση του προγράμματος περιήγησης Tor. Επιπλέον, συνοδεύονται από ένα πρόσθετο εκτελέσιμο αρχείο κρυμμένο μέσα σε ένα αρχείο RAR που προστατεύεται με κωδικό πρόσβασης και το οποίο θα εξαχθεί αυτόματα στη συσκευή οποιουδήποτε χρήστη, αν ανοιχτεί.
Οι εγκαταστάτες είναι εντοπισμένοι με συγκεκριμένα ονόματα όπως “torbrowser_ru.exe” και περιλαμβάνουν πακέτα γλωσσών ώστε οι χρήστες να μπορούν να επιλέξουν τη γλώσσα που επιθυμούν.
Ενώ το τυπικό πρόγραμμα περιήγησης Tor εκκινείται στο προσκήνιο, το αρχείο εξάγει το κακόβουλο λογισμικό στο παρασκήνιο και το εκτελεί ως νέα διαδικασία ενώ παράλληλα το καταχωρεί στην αυτόματη εκκίνηση του συστήματος. Επιπλέον, το κακόβουλο λογισμικό χρησιμοποιεί ένα εικονίδιο uTorrent για να κρύβεται στο σύστημα που έχει παραβιαστεί.
Τα προϊόντα ασφαλείας της Kaspersky αποκάλυψαν 16.000 παραλλαγές του Tor σε διάστημα 6 μηνών (Αύγουστος 2022 – Φεβρουάριος 2023) σε 52 χώρες. Τα δεδομένα αυτά συλλέχθηκαν από χρήστες που ήδη χρησιμοποιούν τις υπηρεσίες τους.
Από τη Ρωσία και την Ανατολική Ευρώπη έως τις Ηνωμένες Πολιτείες, τη Γερμανία, την Κίνα, τη Γαλλία, τις Κάτω Χώρες και το Ηνωμένο Βασίλειο – οι κακόβουλοι φορείς στοχεύουν ένα ευρύ φάσμα χωρών χωρίς σημάδια επιβράδυνσης.
Clipboard hijacking
Λόγω της πολυπλοκότητας των διευθύνσεων κρυπτονομισμάτων, πολλοί επιλέγουν να τις αντιγράψουν στο πρόχειρο προτού τις επικολλήσουν σε άλλο ιστότοπο ή εφαρμογή.
Με τη χρήση εξελιγμένων κανονικών εκφράσεων, το κακόβουλο λογισμικό αναζητά στα δεδομένα του πρόχειρου υπολογιστή πιθανές διευθύνσεις πορτοφολιών κρυπτονομισμάτων και στη συνέχεια αντικαθιστά αυτές με τη δική του κακόβουλη διεύθυνση. Με αυτόν τον τρόπο, οι απειλητικοί φορείς μπορούν να απομυζούν κεφάλαια στα δικά τους πορτοφόλια.
Σε αυτή την κακόβουλη επίθεση, όταν ο χρήστης αντιγράφει και επικολλά τη διεύθυνση κρυπτονομισμάτων του για να στείλει μια συναλλαγή, εισάγεται η διεύθυνση ενός απατεώνα. Αυτό επιτρέπει στους επιτιθέμενους να κλέβουν εύκολα τα χρήματα από ανυποψίαστα θύματα.
Σύμφωνα με την Kaspersky, ο κυβερνοεγκληματίας χρησιμοποιεί χιλιάδες διευθύνσεις σε κάθε δείγμα κακόβουλου λογισμικού από μια προκαθορισμένη λίστα, καθιστώντας δύσκολο για τις αρχές να εντοπίσουν τα πορτοφόλια, να αναφέρουν απάτες και να εφαρμόσουν απαγορεύσεις.
Αφού εξέτασε εκατοντάδες δείγματα κακόβουλου λογισμικού που είχε συλλέξει, η εταιρεία κυβερνοασφάλειας ανακάλυψε ότι οι χάκερς πήραν σχεδόν 400.000 δολάρια από τα θύματα – χωρίς να συμπεριλαμβάνεται το Monero που δεν μπορεί να εντοπιστεί.
Αυτό είναι μόνο το ποσό των χρημάτων που εκλάπη από την εκστρατεία ενός συγγραφέα κακόβουλου λογισμικού – είναι πιθανό να υπάρχουν και άλλοι εγκληματίες του κυβερνοχώρου που χρησιμοποιούν trojanized installers για να κλέψουν από ανυποψίαστους χρήστες.
Για να προστατευτείτε από τo hack του πρόχειρου, είναι ζωτικής σημασίας να εγκαθιστάτε μόνο λογισμικό από αξιόπιστες και νόμιμες πηγές – στην περίπτωση του ιστότοπου του Tor Project.
Πηγή πληροφοριών: bleepingcomputer.com
