Вредоносная версия браузера Tor похищает криптовалюту у пользователей рынков даркнета и отслеживает посещаемые ими web-сайты. Еще в 2017 году злоумышленники зарегистрировали три криптовалютных кошелька, куда были переведены $40 тыс. в биткойнах.

Как сообщают специалисты ESET, злоумышленники рекламируют вредоносный вариант Tor на сайте Pastebin как «русскоязычную версию» браузера. Причем рекламные публикации оптимизированы таким образом, чтобы держались вверху поисковой выдачи по таким запросам, как наркотики, криптовалюта, обход блокировок и российские политики. Потенциальных жертв злоумышленники «подкупают» тем, что рекламируемая версия браузера якобы позволяет обходить CAPTCHA.

Еще один способ распространения вредоноса – спам-рассылка. Под видом «официальной русской версии» вредонос загружается с доменов tor-browser[.]org и torproect[.]org, зарегистрированных в 2014 году. Дизайн сайтов скопирован с настоящего сайта Tor Project. Когда пользователь попадает на эти сайты, независимо от используемой версии Tor, на экране отображается уведомление, будто браузер устарел и требует обновления.

Если пользователь решает «обновить» свой браузер, на его систему загружается скрипт, способный модифицировать страницу. В частности, он похищает контент в формах, скрывает оригинальный контент, показывает поддельные сообщения и добавляет другой контент. Это позволяет вредоносу в режиме реального времени подменять криптовалютный кошелек, на который отправляется криптовалюта. Кроме того, скрипт способен похищать данные кошельков Qiwi.

Когда жертва кладет на свой счет криптовалюту, скрипт меняет адрес ее кошелька на адрес, принадлежащий злоумышленникам. Поскольку криптовалютные адреса представляют собой длинную строку случайных символов, пользователи зачастую не замечают подмену.