Русскоязычные пользователи фейковой версии браузера Tor «годами» теряют биткоины

сообщила компания ESET.

По её информации, вредоносное ПО распространяется в сети как минимум с 2017 года, однако к сегодняшнему дню злоумышленникам удалось похитить относительно небольшую сумму путём подмены биткоин-адресов при осуществлении пользователями платежей на торговых площадках даркнета. Всего было выявлено три биткоин-кошелька, на которые поступали похищенные средства.

«Каждый такой кошелёк содержит достаточно большое число мелких транзакций. Мы считаем это подтверждением того факта, что они действительно использовались заражённым Tor Browser», – заявили в компании.

К моменту проведения исследования указанные кошельки получили переводы на 4,8 BTC ($38 700). Аналитики ESET предполагают, что реальная сумма ущерба может быть выше, так как атакам также подвергались кошельки в платёжной системе QIWI.

Отмечается, что кампания была направлена на русскоязычных пользователей Tor. Для распространения зловредного ПО под видом официальной версии Tor Browser на русском языке использовались различные форумы.

«Цель состояла в привлечении отобранной по языковому признаку группы пользователей к паре вредоносных, но имеющих вид полноценных сайтов», – заявили в ESET.

На первом сайте пользователя уведомляли о том, что его браузер устарел, даже если это было не так. После этого он перенаправлялся на другой сайт, где осуществлялось скачивание вредоносного ПО, позволявшего злоумышленникам получать информацию о посещаемых сайтах, менять отображаемую на страницах информацию и собирать данные заполняемых форм. Хотя потенциально браузер мог менять любую информацию, эта особенность использовалась только для замещения биткоин-адресов.