Киберпрестъпниците откраднаха криптовалута на стойност $400 XNUMX, използвайки манипулирани версии на браузъра Tor. Както беше известно, това количество е регистрирано досега през тази година и засегнатите са 16 хиляди души в 52 държави, като най-засегнати са Русия, Украйна и САЩ.
Tor браузър предлага анонимно и сигурно сърфиране чрез маршрутизиране на уеб трафик чрез глобална мрежа от сървъри, управлявана от доброволци, които помагат да се скрие техният произход и дестинация.
Как беше открадната криптовалута на стойност $400 XNUMX
Зловреден софтуер за инжектиране на клипборда е насочен точно към това приложение на операционната система. Той непрекъснато го наблюдава, докато не открие, че потребителят копира и поставя адреса на портфейл за криптовалута. В този момент, без потребителят да забележи, те го заменят със собствения си портфейл. Тъй като не е необходима интернет връзка, злонамереният софтуер може да остане латентен за дълго време.
Зловреден софтуер за инжектиране на клипборда могат да се разпространяват по различни методикато прикачени файлове към имейли, фалшиви уебсайтове и компрометирани инсталатори на софтуер. Това се случи с браузъра Tor.
Всичко започна, когато Кремъл забрани използването на браузъра Tor на своя територия. Отговорните за проекта поискаха помощ, за да запазят връзките на руските потребители. Нападателите създадоха фалшиви инсталатори и ги разпространиха чрез магазин на трета страна.
Потребителят на жертвата изтегля защитен с парола RAR файл и инструмента за извличане. Наличието на парола помага да се заобиколят защитите за сигурност на много антивирусни програми.
Изпълнимият файл е маскиран като програма, която всички потребители обикновено са инсталирали и започва да сканира клипборда.
sЗа да направи откриването по-трудно, злонамерената програма е защитена от Enigma Packer, инструмент за защита от обратно инженерство, който позволява обфускация на код и прилагане на техники за отстраняване на грешки и механизми против подправяне. Освен това кара програмата да работи, без да изисква зависимости от операционната система.
400 хиляди долара са това, което може да бъде проверено и се състои предимно от биткойни следван от Litecoin, Ethereum и Dogecoin. Изследователите смятат, че числото може да е много по-високо.
Механизмът на измамата
Мрежата Tor и Blockchain, технологията зад повечето криптовалути, имат нещо общо. Защитниците им ги продават като нещо непревземаемо, но компютърните престъпници намират начин да влязат. В миналото беше известно, че мрежата Tor е била хакната от ФБР.
От теорията блокчейн мрежата е защитена, тъй като всички транзакции се проверяват и съхраняват в блок с други транзакции и са цифрово подписани. Всеки блок съдържа информация за това от кой и към кой портфейл е извършена транзакцията, сумата на транзакцията и времето на завършване. Транзакциите трябва да бъдат валидирани независимо от различни мрежови възли и когато се добави блок към предишните, всеки опит за подправяне се открива.
Слабото място, открито от нападателите, както обикновено, е това, което се намира между клавиатурата и облегалката на стола. Криптовалутите се съхраняват в така наречените „портфейли“. Всеки портфейл е защитен от ключ, който се знае само от неговия собственик. За да се позволи комуникация между тях, на всеки е присвоен уникален буквено-цифров идентификатор.
Вместо да използват сложните хакерски техники, които Холивуд ни показва, киберпрестъпниците се възползват от най-разпространения човешки порок - мързела. Ако само потребителят си направи труда да провери дали адресът, който се поставя, е същият като копирания, целта на злонамерения софтуер ще се провали.
Откровено съжалявам за руските потребители. Много е лесно да се каже, че не изтегляйте неща отвсякъде, когато страната ви не е във война и не се управлява от автокрация. Но понякога няма опции.