Malver koji krade kriptovalute sakriven u programu za instalaciju Tor pretraživača

Opisi virusa, 29.03.2023, 13:00 PM

Malver koji krade kriptovalute sakriven u programu za instalaciju Tor pretraživača

Trojanizovani programi za instalaciju anonimnog pretraživača Tor koriste se za infekciju uređaja korisnika pre svega u Rusiji i Evropi takozvanim clipper malverima koji su dizajnirani da kradu kriptovalute.

Analitičari kompanije Kaspersky upozoravaju da, iako ovakvi napadi nisu ništa novo ni posebno kreativno, oni su i dalje efikasni i rasprostranjeni, tako da je zaraženo mnogo korisnika širom sveta.

Ovakvi malveri godinama mogu biti neprimetni, ne pokazujući „nikakvu mrežnu aktivnost ili bilo kakve druge znakove prisustva do katastrofalnog dana kada zamene adresu kripto novčanika“, kaže Vitalij Kamluk, direktor globalnog istraživačkog i analitičkog tima (GReAT) u kompaniji Kaspersky.

Još jedan značajan aspekt klipera je da se njegove zlonamerne funkcije ne aktiviraju osim ako podaci clipboarda (privremene memorije) ne ispunjavaju određene kriterijume.

Nije sasvim jasno kako dolazi do infekcije, ali neki dokazi ukazuju na preuzimanja torrenta ili na neki za sada nepoznati sajt pošto je veb sajt projekta Tor blokiran u Rusiji gde je zabeležen najveći broj infekcija. Rusija je bila druga po broju korisnika Tora u 2021., sa preko 300.000 korisnika dnevno, ili 15% svih korisnika Tora, dok krajem 2021. Tor nije blokiran u ovoj zemlji.

Tor Browser je specijalizovani veb pretraživač koji omogućava korisnicima da anonimno pretražuju internet sakrivanjem njihove IP adrese i šifrovanjem saobraćaja. Tor se takođe može koristiti za pristup posebnim onion domenima, inače poznatim kao „tamni veb“, koji nisu indeksirani od strane standardnih pretraživača ili dostupni preko regularnih pretraživača. Vlasnici kriptovaluta često koriste Tor pretraživač ili zbog privatnosti i anonimnosti prilikom obavljanja transakcija sa kriptovalutama ili zato što žele da pristupe tržištima mračnog veba koja nude ilegalnu robu i usluge, koji se plaćaju kriptovalutama.

Trojanizovane instalacije Tora se obično reklamiraju kao „bezbednosno ojačane” verzije zvaničnog Tor pretraživača, ili se nude korisnicima u zemljama u kojima je Tor zabranjen, što otežava preuzimanje zvanične verzije.

Kaspersky kaže da ovi programi za instalaciju sadrže standardnu verziju Tor pretraživača, iako zastarelu u većini slučajeva, zajedno sa dodatnim izvršnim fajlom skrivenim unutar RAR arhive zaštićene lozinkom koja je podešena da se samoraspakuje na sistemu korisnika. Ovi trojanizovani programi su lokalizovani sa nazivima kao što je npr. torbrowser_ru.exe i nude takođe lokalizovane jezičke pakete, u ovom slučaju za beloruski, makedonski, mongloski, ruski, srpski i ukrajinski.

Supported languages in the trojanized installer

Jezički paket trojanizovanog Tor pretraživača
Izvor: Kaspersky

Kada se pokrene preuzeti program, u prvom planu je Tor pretraživač, a u pozadini se pokreće malver koji koristi ikonicu uTorrenta da bi se sakrio na kompromitovanom sistemu.

Pošto su adrese kriptovaluta dugačke i komplikovane za kucanje, uobičajeno je da ih korisnici prvo kopiraju, a zatim nalepe u drugi program ili na veb sajt. Malver skenira sadržaj privremene memorije tražeći prepoznatljive adrese kripto novčanika korišćenjem uobičajenih fraza, a kada otkrije adresu, zamenjuje je adresom u vlasništvu napadača. Kada korisnik nalepi adresu, umesto njegove će biti nalepljena adresa napadača, omogućavajući napadačima da ukradu transakciju.

Kaspersky kaže da napadači koriste hiljade adresa u svakom uzorku malvera što otežava praćenje, prijavljivanje i blokiranje novčanika. Sa stotininama uzoraka malvera koje je prikupio Kaspersky da bi izvukao zamenske adrese, sajber kriminalci su ukrali skoro 400.000 dolara u kriptovaluti, uključujući Monero kome se ne može ući u trag. Ovaj novac je ukraden samo u jednoj kampanji iza koje stoje određeni sajber kriminalci, ali postoje i druge kampanje koje koriste istu šemu - trojanizovane programe za instalaciju različitog softvera.

Iako je u Rusiji zabeležena većina infekcija, inficiranih ima širom sveta, u SAD, Nemačkoj, Kini, Francuskoj, Belorusiji, Uzbekistanu i drugim zemljama. Sve u svemu, pretnja je primećena u 52 zemlje širom sveta.

Da biste se zaštitili od ovakvih malvera, preporučuje se preuzimanje softvera samo iz pouzdanih izvora.

Naslovna fotografija: Kaspersky


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Malver Atomic Stealer inficira macOS putem lažnog ažuriranja za pretraživače

Malver Atomic Stealer inficira macOS putem lažnog ažuriranja za pretraživače

Atomic Stealer, takođe poznat i kao AMOS, je malver za Mac OS koji se trenutno širi preko lažnog ažuriranja pretraživača pod nazivom „Clea... Dalje

Kako malver Ducktail krade Facebook naloge

Kako malver Ducktail krade Facebook naloge

Istraživači kompanije Kaspersky otkrili su novu verziju malvera Ducktail koju sajber kriminalci koriste za napade na zaposlene u kompanijama koji su... Dalje

Sajber kriminalci imaju novu taktiku kojom sprečavaju otkrivanje malvera

Sajber kriminalci imaju novu taktiku kojom sprečavaju otkrivanje malvera

Malver LummaC2 v4.0 koji krade podatke, izbegava otkrivanje koristeći trigonometriju da bi razlikovao ljudske korisnike od automatizovanih alata za ... Dalje

Malver StripedFly zarazio više od milion računara

Malver StripedFly zarazio više od milion računara

Punih pet godina jedan malver ostao je neprimećen zarazivši za to vreme više od milion Windows i Linux sistema. Pravu prirodu malvera StripedFly ko... Dalje

Malver DarkGate se širi kao PDF ili ZIP fajl preko Skypea i Microsoft Teamsa

Malver DarkGate se širi kao PDF ili ZIP fajl preko Skypea i Microsoft Teamsa

Malver DarkGate, koji je prvi put primećen krajem 2018. godine, trenutno se širi preko komunukacionih platformi kao što su Skype i Microsoft Teams,... Dalje