FAKE Tor Browser стоит за кражей криптовалюты через буфер обмена

[Frank Costello]

Согласно последним отчетам, исследователи компании Kaspersky заметили значительный рост числа троянизированных установщиков Tor Browser, нацеленных на жителей России и стран Восточной Европы. Эти вредоносные программы могут перехватывать информацию о криптовалютных транзакциях на зараженных компьютерах, используя для этого злоумышленный ПО для захвата буфера обмена.

Хотя данная атака не является новой или изобретательной, она продолжает оставаться эффективной и широко распространенной. Большинство жертв становятся ею из-за желания обойти региональные ограничения или беспокойства о своей безопасности, вызванные запретом на использование браузера Tor в России.

Троянские установщики, распространяемые злоумышленниками, как правило, содержат стандартную версию браузера Tor, а также запароленный архив, содержащий вредоносное ПО, которое запускается и добавляется в автозагрузку Windows в фоновом режиме. Кроме того, вредоносное ПО использует иконку uTorrent для скрытного функционирования в скомпрометированной системе.

Информация о распространении троянов с помощью установщиков Tor Browser была опубликована Лабораторией Касперского, чтобы предупредить пользователей об этой угрозе и помочь им защититься от нее. Они рекомендуют использовать только официальные и проверенные источники для загрузки Tor Browser и других программ.

Кража достигается путем отслеживания скопированных в буфер обмена адресов криптовалютных кошельков и их замены на адреса, принадлежащие злоумышленникам. Как результат, пользователь посылает свои сбережения на кошелек злоумышленника вместо своего собственного. Этот метод делает отслеживание перемещения криптовалюты в блокчейне и блокировку кошельков злоумышленника крайне сложным. Компания Касперского советует проверить свой компьютер на наличие этого вредоносного софта, копируя адрес криптокошелька в буфер обмена и проверяя, изменился ли он после вставки в блокнот.

bc1heymalwarehowaboutyoureplacethisaddress

Для того чтобы избежать угрозы вредоносных программ, которые могут заменять адреса криптовалютных кошельков, важно устанавливать программное обеспечение только из надежных источников, таких как официальный сайт Tor Project, при этом используя VPN для обеспечения безопасности. Также перед подтверждением транзакции необходимо дважды проверить кошелек, на который будет осуществлена перевод валюты. И мобильных приложений это так же касается!
https://www.torproject.org/

 

[Cobalt]

Этой статьи действительно не хватало на форуме. Благодарю

 

[Temp-Clock]

Посмотреть вложение 172448
Согласно последним отчетам, исследователи компании Kaspersky заметили значительный рост числа троянизированных установщиков Tor Browser, нацеленных на жителей России и стран Восточной Европы. Эти вредоносные программы могут перехватывать информацию о криптовалютных транзакциях на зараженных компьютерах, используя для этого злоумышленный ПО для захвата буфера обмена.

Хотя данная атака не является новой или изобретательной, она продолжает оставаться эффективной и широко распространенной. Большинство жертв становятся ею из-за желания обойти региональные ограничения или беспокойства о своей безопасности, вызванные запретом на использование браузера Tor в России.

Троянские установщики, распространяемые злоумышленниками, как правило, содержат стандартную версию браузера Tor, а также запароленный архив, содержащий вредоносное ПО, которое запускается и добавляется в автозагрузку Windows в фоновом режиме. Кроме того, вредоносное ПО использует иконку uTorrent для скрытного функционирования в скомпрометированной системе.

Информация о распространении троянов с помощью установщиков Tor Browser была опубликована Лабораторией Касперского, чтобы предупредить пользователей об этой угрозе и помочь им защититься от нее. Они рекомендуют использовать только официальные и проверенные источники для загрузки Tor Browser и других программ.

Кража достигается путем отслеживания скопированных в буфер обмена адресов криптовалютных кошельков и их замены на адреса, принадлежащие злоумышленникам. Как результат, пользователь посылает свои сбережения на кошелек злоумышленника вместо своего собственного. Этот метод делает отслеживание перемещения криптовалюты в блокчейне и блокировку кошельков злоумышленника крайне сложным. Компания Касперского советует проверить свой компьютер на наличие этого вредоносного софта, копируя адрес криптокошелька в буфер обмена и проверяя, изменился ли он после вставки в блокнот.

Посмотреть вложение 172447
Для того чтобы избежать угрозы вредоносных программ, которые могут заменять адреса криптовалютных кошельков, важно устанавливать программное обеспечение только из надежных источников, таких как официальный сайт Tor Project, при этом используя VPN для обеспечения безопасности. Также перед подтверждением транзакции необходимо дважды проверить кошелек, на который будет осуществлена перевод валюты. И мобильных приложений это так же касается!
https://www.torproject.org/

Вывод, качайте Тор только с официального сайта ))
Работает через VPN только )

 

[Cobalt]

Вывод, качайте Тор только с официального сайта ))
Работает через VPN только )

К сожалению, многие пользователи ПК вообще не заморачиваются, я многих таких знаю. Вбил в поисковик название и первую же ссылку кликает, а она далеко не всегда официальная. Поэтому надо напоминать людям, что быть невнимательным и пренебрегать поиском офф. источников - чревато. Хотя и такие напоминания не всегда способны победить лень.

 

[Temp-Clock]

К сожалению, многие пользователи ПК вообще не заморачиваются, я многих таких знаю. Вбил в поисковик название и первую же ссылку кликает, а она далеко не всегда официальная. Поэтому надо напоминать людям, что быть невнимательным и пренебрегать поиском офф. источников - чревато. Хотя и такие напоминания не всегда способны победить лень.

Согласен, сам видел в поиске вводишь тор браузер и там совсем не официальный сайт первым вылазиет.
Так что да, лучше использовать только проверенный источники, а самый проверенный это официальный сайт ))

 

[Mortal Combat]

ДОБАВЛЮ: Этот червь, селящийся в трее, почти не распознается антивирусами. На данный момент некотоыре моежт определять Dr.Web. Другие - не канают, я лично проверял, искал информацию в интернете. Так же его можно подхватить ХОТЬ ГДЕ, когда качаешь какой-либо софт. Не знаю, почему его тут именно к ТОР привязали) Это уже старый червячок, который давно блуждает по интернету.

 

[Frank Costello]

ДОБАВЛЮ: Этот червь, селящийся в трее, почти не распознается антивирусами. На данный момент некотоыре моежт определять Dr.Web. Другие - не канают, я лично проверял, искал информацию в интернете. Так же его можно подхватить ХОТЬ ГДЕ, когда качаешь какой-либо софт. Не знаю, почему его тут именно к ТОР привязали) Это уже старый червячок, который давно блуждает по интернету.

Тоже хотелось бы добавить, не всегда антивирусы распознают вирусное ПО, у них есть база известных и часть кода уязвимости и по этим принципам идёт поиск, так что самописные с 0 вирусы трудно обнаружить. Так же вирусы можно криптовать, ну и банальная рабочая схема сейчас почему распростроняют через .rar архивы, т.к. в него легко встроить скрипт и архив не может просканировать антивирусник, а в скрипте может быть код который добавляет автоматом исполнительный файл в исключения что пользователь не заметит.
Не сказал бы что червячок старый, их всегда модернизируют, чтобы быстро не обнаруживались по подобиям старых антивирусами. А тут к тор привязал, т.к. многие именно в этой области допускают банальные ошибки, смотри любое пиратское ПО по сути может быть зараженно трояном подменщиком адреса бтк, вопрос, сколько из аудитории зараженных пользуются криптой, малое количество, а вот с тором это целевая атака на аудиторию, часто кто пользуется тором, значит будут пользоваться и криптой. Это тема как просвещение что могут и не только фишингом украсть, до сих пор есть люди которые площадки через поисковик ищут... И то что угнать средства могут не только через фишинг подмену сайта, и такие на форумах встречались что сайт именно тот, но бабки улетели, и вот как раз таким способом. Так же могут быть вирусы переадресации hosts, когда заходишь на нужный сайт, а он автоматом подменяется на левый, что и не заметишь.

 

[Mortal Combat]

Тоже хотелось бы добавить, не всегда антивирусы распознают вирусное ПО, у них есть база известных и часть кода уязвимости и по этим принципам идёт поиск, так что самописные с 0 вирусы трудно обнаружить. Так же вирусы можно криптовать, ну и банальная рабочая схема сейчас почему распростроняют через .rar архивы, т.к. в него легко встроить скрипт и архив не может просканировать антивирусник, а в скрипте может быть код который добавляет автоматом исполнительный файл в исключения что пользователь не заметит.
Не сказал бы что червячок старый, их всегда модернизируют, чтобы быстро не обнаруживались по подобиям старых антивирусами. А тут к тор привязал, т.к. многие именно в этой области допускают банальные ошибки, смотри любое пиратское ПО по сути может быть зараженно трояном подменщиком адреса бтк, вопрос, сколько из аудитории зараженных пользуются криптой, малое количество, а вот с тором это целевая атака на аудиторию, часто кто пользуется тором, значит будут пользоваться и криптой. Это тема как просвещение что могут и не только фишингом украсть, до сих пор есть люди которые площадки через поисковик ищут... И то что угнать средства могут не только через фишинг подмену сайта, и такие на форумах встречались что сайт именно тот, но бабки улетели, и вот как раз таким способом. Так же могут быть вирусы переадресации hosts, когда заходишь на нужный сайт, а он автоматом подменяется на левый, что и не заметишь.

Помимо Тора, так же в ВПН сервисы вшивают, которыми тоже очень часто пользуются)
Да что там говорить - в обычный установищик винрар, котоыйр ты одним из первых ставишь после сноса винды))