Một loạt các trình cài đặt Tor Browser bị trojan hóa nhắm mục tiêu đến người Nga và người Đông Âu bằng phần mềm độc hại chiếm quyền điều khiển khay nhớ tạm nhằm đánh cắp các giao dịch tiền điện tử của người dùng bị nhiễm.
Các nhà phân tích của Kaspersky cảnh báo rằng mặc dù cuộc tấn công này không phải là mới hoặc đặc biệt sáng tạo, nhưng nó vẫn hiệu quả và phổ biến, lây nhiễm cho nhiều người dùng trên toàn thế giới.
Mặc dù những trình cài đặt Tor độc hại này nhắm mục tiêu vào các quốc gia trên toàn thế giới, nhưng Kaspersky cho biết hầu hết chúng nhắm vào Nga và Đông Âu.
“Chúng tôi liên hệ điều này với lệnh cấm trang web của Dự án Tor ở Nga vào cuối năm 2021, được báo cáo bởi chính Dự án Tor,” Kaspersky giải thích .
"Theo kết quả sau này, Nga là quốc gia lớn thứ hai tính theo số lượng người dùng Tor vào năm 2021 (với hơn 300.000 người dùng hàng ngày, hoặc 15% tổng số người dùng Tor)."
Tor Browser là một trình duyệt web chuyên dụng cho phép người dùng duyệt web ẩn danh bằng cách ẩn địa chỉ IP và mã hóa lưu lượng truy cập của họ.
Tor cũng có thể được sử dụng để truy cập các miền củ hành đặc biệt, còn được gọi là "web tối", không được các công cụ tìm kiếm tiêu chuẩn lập chỉ mục hoặc không thể truy cập được thông qua các trình duyệt thông thường.
Những người nắm giữ tiền điện tử có thể sử dụng trình duyệt Tor để nâng cao quyền riêng tư và tính ẩn danh của họ trong khi giao dịch bằng tiền điện tử hoặc vì họ muốn truy cập các dịch vụ thị trường web đen bất hợp pháp, được thanh toán bằng tiền điện tử.
Các bản cài đặt Tor bị Trojan hóa thường được quảng cáo là phiên bản "tăng cường bảo mật" của nhà cung cấp chính thức, Dự án Tor hoặc được đẩy tới người dùng ở các quốc gia nơi Tor bị cấm, khiến việc tải xuống phiên bản chính thức trở nên khó khăn hơn.
Kaspersky cho biết những trình cài đặt này chứa một phiên bản tiêu chuẩn của trình duyệt Tor, mặc dù đã lỗi thời trong hầu hết các trường hợp, cùng với một tệp thực thi bổ sung ẩn bên trong kho lưu trữ RAR được bảo vệ bằng mật khẩu được đặt để tự giải nén trên hệ thống của người dùng.
Các trình cài đặt cũng được bản địa hóa với các tên như 'torbrowser_ru.exe' và chứa các gói ngôn ngữ cho phép người dùng chọn ngôn ngữ ưa thích của họ.
Gói ngôn ngữ trình duyệt Tor độc hại
Mặc dù trình duyệt Tor tiêu chuẩn được khởi chạy ở nền trước, kho lưu trữ sẽ trích xuất phần mềm độc hại trong nền và chạy nó như một quy trình mới đồng thời đăng ký nó trên hệ thống tự động khởi động. Ngoài ra, phần mềm độc hại sử dụng biểu tượng uTorrent để ẩn trên hệ thống bị vi phạm.
Sơ đồ lây nhiễm Trojanized Tor
Kaspersky đã phát hiện 16.000 biến thể của những trình cài đặt Tor này từ tháng 8 năm 2022 đến tháng 2 năm 2023 tại 52 quốc gia, dựa trên dữ liệu từ người dùng các sản phẩm bảo mật của hãng.
Trong khi phần lớn đang nhắm mục tiêu vào Nga và Đông Âu, chúng cũng đã được nhìn thấy nhắm mục tiêu vào Hoa Kỳ, Đức, Trung Quốc, Pháp, Hà Lan và Vương quốc Anh.
Số lượng lây nhiễm hàng tháng được phát hiện bởi Kaspersky
Vì các địa chỉ tiền điện tử dài và phức tạp để nhập, nên trước tiên, người ta thường sao chép chúng vào khay nhớ tạm, sau đó dán chúng vào một chương trình hoặc trang web khác.
Phần mềm độc hại giám sát khay nhớ tạm để tìm các địa chỉ ví tiền điện tử có thể nhận dạng bằng cách sử dụng các biểu thức thông thường và khi phát hiện thấy một địa chỉ này, nó sẽ thay thế nó bằng một địa chỉ tiền điện tử được liên kết do các tác nhân đe dọa sở hữu.
Khi người dùng dán địa chỉ tiền điện tử, địa chỉ của kẻ đe dọa sẽ được dán thay thế, cho phép kẻ tấn công đánh cắp giao dịch đã gửi.
Regex phát hiện địa chỉ ví và thay thế nó
Kaspersky cho biết tác nhân đe dọa sử dụng hàng nghìn địa chỉ trên mỗi mẫu phần mềm độc hại, được chọn ngẫu nhiên từ danh sách được mã hóa cứng. Điều này làm cho việc theo dõi, báo cáo và cấm ví trở nên khó khăn.
Công ty an ninh mạng đã giải nén hàng trăm mẫu phần mềm độc hại mà họ đã thu thập để trích xuất các địa chỉ thay thế và phát hiện ra rằng chúng đã đánh cắp gần 400.000 đô la, không bao gồm Monero, không thể lần ra dấu vết.
Xác nhận số tiền bị đánh cắp
Đây là số tiền bị đánh cắp chỉ từ một chiến dịch duy nhất do một tác giả phần mềm độc hại cụ thể điều hành và gần như chắc chắn có những chiến dịch khác sử dụng trình cài đặt trojan cho các phần mềm khác nhau.
Để giữ an toàn trước những kẻ xâm nhập khay nhớ tạm, chỉ cài đặt phần mềm từ các nguồn chính thức/đáng tin cậy, trong trường hợp này là trang web Dự án Tor .
Một thử nghiệm đơn giản để kiểm tra xem clipper có lây nhiễm cho bạn hay không là sao chép và dán địa chỉ này vào Notepad của bạn: bc1heymalwarehowaboutyourplacethisaddress.
Nếu nó bị thay đổi, điều đó có nghĩa là hệ thống của bạn đã bị xâm nhập.
Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.