За последние полгода «Лаборатория Касперского» отмечает всплеск атак, использующих инсталлятор Tor Browser в связке с программой-клиппером. На данный момент зарегистрировано около 16 тысяч заражений, включая случаи в странах бывшего СНГ.
Метод распространения вредоносного репака остается неизвестным, но считается, что злоумышленники могут раздавать его через торрент-сайты или другие сторонние источники. В России, где браузер Tor пользуется популярностью, официальный сайт проекта периодически блокируется. Это привело к тому, что разработчики Brave добавили плагин для обхода таких ограничений, а хакеры стали активнее использовать сложившуюся ситуацию.
Первые вредоносные «бандлы» Tor Browser появились в конце 2021 года, а в августе 2022 года количество обнаруженных атак резко возросло и составляет тысячи случаев ежемесячно. Злоумышленники предлагают локализованную версию инсталлятора (например, torbrowser_ru.exe) с возможностью выбора языка по умолчанию. Эксперты обнаружили сотни схожих образцов с одинаковой схемой развертывания в системе.
Загружаемый исполняемый файл не имеет цифровой подписи и на самом деле является архивом RAR SFX, который содержит три файла: оригинальный инсталлятор Tor Browser с валидной подписью, запароленный RAR с кодом клиппера и инструмент командной строки для распаковки RAR. Легитимный инсталлятор запускается для отвода глаз, а в это время происходит активация клиппера, который обычно маскируется под иконку популярной программы, например, uTorrent. Вредоносное ПО запускается как новый процесс и прописывается в системе для автозапуска.
Клиппер сканирует содержимое буфера обмена с использованием встроенных regex, ищет совпадения и заменяет адрес криптокошелька на случайный из списка, вшитого в код. По словам исследователей, такие списки могут содержать тысячи возможных вариантов.
Удивительно, что зловред можно отключить с помощью комбинации горячих клавиш Ctrl+Alt+F10. Предполагается, что эта опция была добавлена на стадии тестирования и злоумышленники забыли ее удалить перед выпуском вредоносного ПО.
Данная атака подчеркивает важность скачивания программ только с официальных сайтов и проверки цифровых подписей перед установкой. Также пользователи должны быть осведомлены о существовании подобных атак и оставаться начеку при использовании анонимных браузеров, таких как Tor Browser.
В заключение, защита от подобных угроз требует не только внимательности со стороны пользователей, но и постоянного мониторинга со стороны специалистов в области информационной безопасности. Лаборатория Касперского продолжает следить за развитием ситуации и предоставлять обновления по мере поступления новой информации.
- Роскомнадзор включил WhatsApp в реестр организаторов распространения информации - 21/12/2024 18:44
- Что такое антидетект-браузер? - 21/12/2024 18:34
- Аналитики предсказывают возможное банкротство Ubisoft в 2025 году - 20/12/2024 21:18