Cyberkriminella stjäl 400 XNUMX dollar i kryptovaluta med hjälp av riggade versioner av Tor-webbläsaren. Som det var känt har detta belopp registrerats hittills i år och de drabbade är 16 tusen människor i 52 länder, de mest drabbade är Ryssland, Ukraina och USA.
Tor webbläsare föreslår att surfa anonymt och säkert genom att dirigera webbtrafik genom ett globalt nätverk av servrar som drivs av frivilliga som hjälper till att dölja sitt ursprung och sin destination.
Hur 400 XNUMX dollar i kryptovaluta stals
Urklippsinjektion skadlig programvara riktar sig mot just denna operativsystemapplikation. Den övervakar det hela tiden tills de upptäcker att användaren kopierar och klistrar in adressen till en kryptovaluta-plånbok. I det ögonblicket, utan att användaren märker det, ersätter de den med sin egen plånbok. Eftersom ingen internetanslutning krävs kan skadlig programvara förbli vilande under lång tid.
Urklippsinjektor skadlig kod kan distribueras via olika metodersåsom e-postbilagor, falska webbplatser och komprometterade programvaruinstallatörer. Detta var vad som hände med Tor-webbläsaren.
Allt började när Kreml förbjöd användningen av Tor-webbläsaren inom sitt territorium. De ansvariga för projektet bad om hjälp för att hålla ryska användare uppkopplade. Angriparna skapade falska installatörer och distribuerade det via en tredjepartsbutik.
Offrets användare laddar ner en lösenordsskyddad RAR-fil och extraheringsverktyget. Att ha ett lösenord hjälper till att kringgå säkerhetsskyddet för många antivirus.
Den körbara filen är förklädd som ett program som alla användare vanligtvis har installerat och börjar skanna urklippet.
sFör att försvåra upptäckten är det skadliga programmet skyddat av Enigma packer, ett skyddsverktyg för omvänd ingenjörskonst som möjliggör kodobfuskering och tillämpning av anti-debugging-tekniker och anti-manipuleringsmekanismer. Det gör också att programmet körs utan att kräva operativsystemberoenden.
De 400 tusen dollarna är det som kan verifieras och består till största delen av Bitcoins följt av Litecoins, Ethereum och Dogecoins. Forskare tror att siffran kan vara mycket högre.
Bedrägerimekanismen
Tor-nätverket och Blockchain, tekniken bakom de flesta kryptovalutor, har något gemensamt. Deras försvarare säljer dem som något ointagligt, men databrottslingar hittar en väg in. Tidigare var det känt att Tor-nätverket hade hackats av FBI.
Enligt teorin är ett blockchain-nätverk säkert eftersom alla transaktioner verifieras och lagras i ett block med andra transaktioner och är digitalt signerade. Varje block innehåller information om från vilken och till vilken plånbok transaktionen gjordes, transaktionsbeloppet och tidpunkten för slutförandet. Transaktioner måste valideras oberoende av olika nätverksnoder och när ett block läggs till de tidigare, upptäcks eventuella manipuleringsförsök.
Den svaga punkten som angriparna hittat är som vanligt den som ligger mellan tangentbordet och stolsryggen. Kryptovalutor lagras i så kallade "plånböcker". Varje plånbok skyddas av en nyckel som endast är känd av dess ägare. För att möjliggöra kommunikation mellan dem tilldelas var och en en unik alfanumerisk identifierare.
Istället för att använda de sofistikerade hackningstekniker som Hollywood visar oss, utnyttjar cyberkriminella det vanligaste av mänskliga laster, lättja. Om bara användaren gjorde sig besväret att verifiera att adressen som klistras in är densamma som den som kopierades, skulle syftet med skadlig programvara misslyckas.
Jag är uppriktigt ledsen för de ryska användarna. Det är väldigt lätt att säga att du inte laddar ner saker från någonstans när ditt land inte är i krig och styrs av ett envälde. Men ibland finns det inga alternativ.