Спецпроекты

Безопасность Пользователю Стратегия безопасности Интернет Веб-сервисы Интернет-доступ Техника

Из-за блокировки в России Tor хакеры придумали хитрую схему и воруют у россиян деньги миллионами

Россияне столкнулись с засильем «пиратских» установщиков Tor Browser, расплодившихся после блокировки в июле 2022 г. фирменного сайта проекта. В таких дистрибутивах скрыты трояны, ворующие криптовалюту — всего за несколько месяцев они принесли киберпреступникам десятки миллионов рублей.

Россиян обворовывают

Россияне оказались под угрозой остаться без накоплений в криптовалюте на фоне блокировки сервиса анонимного серфинга Tor в России. Эксперты «Лаборатории Касперского» обнаружили всплеск активности хакеров, распространяющих трояны для кражи криптовалюты под видом программ-установщиков Tor Browser.

Аналитики связали рост популярности этого вида атак именно с блокировкой официального сайта Tor Project. Трояны, которыми они заражают ПК пользователей, следят за буфером обмена и перехватывают криптовалютные транзакции, чтобы затем перенаправить их по нужному киберпреступникам адресу. Об этом эксперты «Касперского» написали в отчете Copy-paste heist or clipboard-injector attacks on cryptousers, опубликованном на их портале SecureList.

Простая схема, придуманная хакерами, обеспечила им очень хороший доход. По подсчетам экспертов «Лаборатории Касперского», они украли, по меньшей мере, $400 тыс. (30,6 млн руб.) в криптовалюте. И это еще без учета токенов Monero, отследить которые невозможно.

Не каждый Tor одинаково полезен

В отчете «Лаборатории Касперского» указано, что это далеко не новый вид хакерской атаки — она существует относительно давно, но стала особенно популярной именно в последние месяцы, с тех пор, как Tor Project в очередной раз оказался в «черном списке» Роскомнадзора.

Как все устроено

Трояны, скрытые в таких установщиках, отслеживают в буфере обмена узнаваемые адреса криптовалютных кошельков с помощью регулярных выражений и при обнаружении заменяет его соответствующим адресом криптовалюты, принадлежащим злоумышленникам. Таким образом, пользователь, скопировавший изначально верный адрес кошелька для перевода средств, вставит в соответствующее поле совсем другой кошелек, принадлежащий злоумышленникам. Если отправитель не заметит подмены, то его деньги уйдут по ложному адресу, и вернуть их будет почти невозможно.

Выбор языка в зараженном установщике Tor

Эксперты «Лаборатории Касперского» утверждает, что злоумышленники использует тысячи адресов в каждом образце вредоносного ПО, выбранных случайным образом из жестко заданного списка. Это затрудняет отслеживание кошелька, отчетность и блокировку.

Сам троян работает в фоновом режиме и старается ничем не выдать свое присутствие. Хакеры часто присваивают ему пиктограммы известных и популярных в России программ, например, торрент-клиента uTorrent, чтобы отвести от опасной программы подозрение.

Троян прописывается в автозагрузке и активируется при каждом включении компьютера. Вычислить его можно через «Диспетчер задач», но не каждый пользователь ежедневно проверяет список программ или служб, запускающихся автоматически.

Очень востребованный сервис

Для россиян Tor – это эффективное средство, упрощающее доступ к заблокированным в России сайтам. Сервис многим заменяет классические VPN, тоже подвергающиеся гонениям со стороны российских властей.

С технической точки зрения Tor представляет собой сложную систему прокси-серверов для анонимизации веб-серфинга. Пользователь не только получает доступ ко всем нужным ему веб-ресурсам, но и может не беспокоиться, что кто-то сможет проследить его перемещения по интернету.

Троян может скрываться под иконкой часто используемой программы

Россияне высоко оценили предлагаемые Tor возможности. По итогам 2021 г., пишет Bleeping Computer, Россия находилась на втором месте в мире по числу активных пользователей Tor – к системе ежедневно подключалось свыше 300 тыс. человек с российским IP-адресом, что на тот момент составляло в пределах 15% всех пользователей Tor. Жители какой страны пользуются Tor чаще россиян, эксперты «Лаборатории Касперского не уточняют».

Десятки тысяч потенциальных жертв

На момент публикации материала Tor Project находился под запретом в России. Из-под которого он периодически выбирался. Эта история началась в декабре 2021 г. и продлилась до мая 2022 г., когда стало известно об отмене первоначального решения о блокировке Tor Project.

Как сообщал CNews, в конце июля 2022 г. повторно власти «помиловали» его, однако менее чем через неделю он вновь оказался в «блэклисте» по решению Ленинского районного суда Саратова.

Хакеры явно решили обернуть решение провинциального суда в свою пользу. По подсчетам «Лаборатории Касперского», в период с августа 2022 г. по февраль 2023 г. было обнаружено около 16 тыс. скачиваний различных установщиков Tor Browser с «сюрпризом» внутри, большая часть из которых была произведена в России и странах Восточной Европы. Были и среди них скачивания в Великобритании, Германии, Нидерландах, Китае и Франции, но таковых оказалось меньшинство.

Связь между блокировкой Tor в России и ростом числа скачиваний зараженных установщиков. Наглядно

Проверить ПК на наличие трояна очень просто, и для этого даже не придется исследовать недра «Диспетчера задач». Достаточно лишь скопировать любой произвольный адрес криптокошелька и вставить его, например, в пустой тестовый документ. Если адреса будут различаться, то нужно будет заняться обеззараживанием компьютера с применением современных антивирусов и удалением опасной программы вручную.

Евгений Черкесов

Короткая ссылка