Tor Browser стал угрозой для россиян из-за вируса

0

За последние полгода «Лаборатория Касперского» отмечает всплеск атак, использующих инсталлятор Tor Browser в связке с программой-клиппером. На данный момент зарегистрировано около 16 тысяч заражений, включая случаи в странах бывшего СНГ.

Метод распространения вредоносного репака остается неизвестным, но считается, что злоумышленники могут раздавать его через торрент-сайты или другие сторонние источники. В России, где браузер Tor пользуется популярностью, официальный сайт проекта периодически блокируется. Это привело к тому, что разработчики Brave добавили плагин для обхода таких ограничений, а хакеры стали активнее использовать сложившуюся ситуацию.

Первые вредоносные “бандлы” Tor Browser появились в конце 2021 года, а в августе 2022 года количество обнаруженных атак резко возросло и составляет тысячи случаев ежемесячно. Злоумышленники предлагают локализованную версию инсталлятора (например, torbrowser_ru.exe) с возможностью выбора языка по умолчанию. Эксперты обнаружили сотни схожих образцов с одинаковой схемой развертывания в системе.

Загружаемый исполняемый файл не имеет цифровой подписи и на самом деле является архивом RAR SFX, который содержит три файла: оригинальный инсталлятор Tor Browser с валидной подписью, запароленный RAR с кодом клиппера и инструмент командной строки для распаковки RAR. Легитимный инсталлятор запускается для отвода глаз, а в это время происходит активация клиппера, который обычно маскируется под иконку популярной программы, например, uTorrent. Вредоносное ПО запускается как новый процесс и прописывается в системе для автозапуска.

Клиппер сканирует содержимое буфера обмена с использованием встроенных regex, ищет совпадения и заменяет адрес криптокошелька на случайный из списка, вшитого в код. По словам исследователей, такие списки могут содержать тысячи возможных вариантов.

Удивительно, что зловред можно отключить с помощью комбинации горячих клавиш Ctrl+Alt+F10. Предполагается, что эта опция была добавлена на стадии тестирования и злоумышленники забыли ее удалить перед выпуском вредоносного ПО.

Данная атака подчеркивает важность скачивания программ только с официальных сайтов и проверки цифровых подписей перед установкой. Также пользователи должны быть осведомлены о существовании подобных атак и оставаться начеку при использовании анонимных браузеров, таких как Tor Browser.

В заключение, защита от подобных угроз требует не только внимательности со стороны пользователей, но и постоянного мониторинга со стороны специалистов в области информационной безопасности. Лаборатория Касперского продолжает следить за развитием ситуации и предоставлять обновления по мере поступления новой информации.

Digital Report
Share.

About Author

Digital-Report.ru — информационно-аналитический портал, который отслеживает изменения цифровой экономики. Мы описываем все технологические тренды, делаем обзоры устройств и технологических событий, которые влияют на жизнь людей.

Comments are closed.

Перейти к верхней панели