Безопасность Пользователю Интернет E-commerce Интернет-ПО Техника МаркетКомпания ESET обнаружила поддельный русскоязычный Tor Browser, который крадет криптовалюту из кошельков QIWI и биткоиновых кошельков пользователей даркнета. В биткоинах преступникам удалось украсть таким образом около $40 тыс. Вредоносный браузер распространяется под видом настоящего Tor.
Троянский браузерИсследователи безопасности из компании ESET обнаружили поддельную версию Tor Browser, которая похищает криптовалюту из кошельков своих пользователей. Это русскоязычная версия, поэтому ее жертвами становятся в основном пользователи рунета. По словам исследователей, вредоносный браузер предназначен для модификации кошельков QIWI или биткоиновых кошельков пользователей трех крупнейших русскоязычных рынков даркнета.Когда жертва заходит в свой кошелек, чтобы пополнить его биткоинами, троянский браузер автоматически подменяет адрес, на который переводятся средства. Вместо кошелька пользователя они отправляются в один из трех биткоиновых кошельков, которые принадлежат злоумышленникам. В настоящий момент в этих кошельках хранится 4,8 рунион биткоина, что равно примерно $40 тыс. Но это не все похищенные средства, так как как здесь не учитываются деньги, украденные у пользователей QIWI.Технические особенностиТроянский браузер основан на версии Tor Browser 7.5, выпущенной в январе 2018 г. В нем присутствует вся функциональность настоящего Tor, поэтому пользователи без технических навыков не способны отличить его от реального браузера. Все бинарные компоненты исходника сохранены. Преступники просто изменили некоторые настройки по умолчанию и расширения — например, предотвратили обновления, чтобы вредоносная программа не обновилась до настоящего Tor.Кроме того, они изменили настройки по умолчанию в клиентской программе User-Agent, вписав туда уникальное жестко закодированное значение. Таким образом все жертвы использовали один и тот же User-Agent, что позволяло отследить их со стороны сервера. Кроме того, хакеры отключили проверку цифровой подписи для расширений, чтобы браузер без проблем загружал созданные ими расширения.Поддельный русскоязычный Tor Browser крадет у пользователей криптовалютуТакже они модифицировали расширение HTTPS Everywhere, которое включено в браузер, добавив туда скрипт, исполняемый на веб-страницах. Скрипт сообщает C&C-серверу адрес текущей страницы и загружает для исполнения код JavaScript. C&C-сервер находится в «луковом» домене, то есть доступ к нему возможен только с гидру помощью Tor.Схема распространенияВредоносный браузер распространяется через два сайта, которые выглядят так, как будто распространяют официальную версию Tor. Домены называются tor-browser.org и torproect.org, оба были созданы в 2014 г. Название torproect.org отличается от официального сайта torproject.org только отсутствием буквы «j». У русскоязычных жертв оно не вызывает подозрений благодаря сходству с русским словом «проект».Модуль «Управление уязвимостями» на платформе Security Vision: как выявить и устранить уязвимости в своей ИТ-инфраструктуреБезопасностьОдин из сайтов показывает пользователям сообщение, что их версия Tor Browser устарела и предлагает ее обновить. Сообщение выводится даже в том случае, если у пользователя установлена самая последняя версия браузера. Когда пользователь нажимает на кнопку «Обновить», его перенаправляют на второй сайт, где можно скачать загрузчик для Windows. Судя по всему, это единственная операционная система, с которой работает поддельный Tor.Рекламная кампанияВ 2017 г. и начале 2018 г. преступники продвигали фальшивые сайты с помощью спама на русскоязычных форумах. Рекламные сообщения были посвящены различным темам, в том числе рынкам даркнета, криптовалютам, приватности в интернете и обходу блокировок. В некоторых сообщениях упоминался Роскомнадзор.Весной 2018 г. преступники начали продвигать фальшивые сайты с помощью сервиса pastebin.com. Они создали четыре аккаунта и сгенерировали большое количество сообщений, сформулированных таким образом, чтобы попадать в верхние строчки результатов поиска на темы наркотиков, криптовалют и обхода цензуры, а также по именам российских политиков.В этих постах преступники рекламировали достоинства Tor Browser как средства защиты приватности в интернете и давали ссылку на фальшивый сайт с вредоносным браузером, утверждая, что это официальный сайт. В общей сложности данные hydraruzxpnewaf сообщения были просмотрены пользователями 500 тыс. раз, но невозможно определить, сколько пользователей действительно скачало браузер.Валерия Шмырова

Русские ссылки тор браузера hydra - Hydra onion гидра сайт

коинах преступникам удалось украсть таким образом около $40 тыс. Вредоносный браузер распространяется под видом настоящего Tor.
Троянский браузерИсследователи безопасности из компании ESET обнаружили поддельную версию Tor Browser, которая похищает криптовалюту из кошельков своих пользователей. Это русскоязычная версия, поэтому ее жертвами становятся в основном пользователи рунета. По словам исследователей, вредоносный браузер предназначен для модификации кошельков QIWI или биткоиновых кошельков пользователей трех крупнейших русскоязычных рынков даркнета.Когда жертва заходит в свой кошелек, чтобы пополнить его биткоинами, троянский браузер автоматически подменяет адрес, на который переводятся средства. Вместо кошелька пользователя они отправляются в один из трех биткоиновых кошельков, которые принадлежат злоумышленникам. В настоящий момент в этих кошельках хранится 4,8 биткоина, что равно примерно $40 тыс. Но это не все похищенные средства, так как как здесь не учитываются деньги, украденные у пользователей QIWI.Технические особенностиТроянский браузер основан на версии Tor Browser 7.5, выпущенной в январе 2018 г. В нем присутствует вся функциональность настоящего Tor, поэтому пользователи без технических навыков не способны отличить его от реального браузера. Все бинарные компоненты исходника сохранены. Преступники просто изменили некоторые настройки по умолчанию и расширения — например, предотвратили обновления, чтобы вредоносная программа не обновилась до настоящего Tor.Кроме того, они изменили настройки по умолчанию в клиентской программе User-Agent, вписав туда уникальное жестко закодированное значение. Таким образом все жертвы использовали один и тот же User-Agent, что позволяло отследить их со стороны сервера. Кроме того, хакеры отключили проверку цифровой подписи для расширений, чтобы браузер без проблем загружал созданные ими расширения.Поддельный русскоязычный Tor Browser крадет у пользователей криптовалютуТакже они модифицировали расширение HTTPS Everywhere, которое включено в браузер, добавив туда скрипт, исполняемый на веб-страницах. Скрипт сообщает C&C-серверу адрес текущей страницы и загружает для исполнения код JavaScript. C&C-сервер находится в «луковом» домене, то есть доступ к нему возможен только с помощью Tor.Схема распространенияВредоносный браузер распространяется через два сайта, которые выглядят так, как будто распространяют официальную версию Tor. Домены называются tor-browser.org и torproect.org, оба были созданы в 2014 г. Название torproect.org отличается от официального сайта torproject.org только отсутствием буквы «j». У русскоязычных жертв оно не вызывает подозрений благодаря сходству с русским словом «проект».Модуль «Управление уязвимостями» на платформе Security Vision: как выявить и устранить уязвимости в своей ИТ-инфраструктуреБезопасностьОдин из сайтов показывает пользователям сообщение, что их версия Tor Browser устарела и предлагает ее обновить. Сообщение выводится даже в том случае, если у пользователя установлена самая последняя версия браузера. Когда пользователь нажимает на кнопку «Обновить», его перенаправляют на второй сайт, где можно скачать загрузчик для Windows. Судя по всему, это единственная операционная система, с которой работает поддельный Tor.Рекламная кампанияВ 2017 г. и начале 2018 г. преступники продвигали фальшивые сайты с помощью спама на русскоязычных форумах. Рекламные сообщения были посвящены различным темам, в том числе рынкам даркнета, криптовалютам, приватности в интернете и обходу блокировок. В некоторых сообщениях упоминался Роскомнадзор.Весной 2018 г. преступники начали продвигать фальшивые сайты с помощью сервиса pastebin.com. Они создали четыре аккаунта и сгенерировали большое количество сообщений, сформулированных таким образом, чтобы попадать в верхние строчки результатов поиска на темы наркотиков, криптовалют и обхода цензуры, а также по именам российских политиков.В этих постах преступники рекламировали достоинства Tor Browser как средства защиты приватности в интернете и давали ссылку на фальшивый сайт с вредоносным браузером, утверждая, что это официальный сайт. В общей сложности данные сообщения были просмотрены пользователями 500 тыс. раз, но невозможно определить, сколько пользователей действительно скачало браузер.Валерия Шмырова

Были конфискованы биткоины на сумму, эквивалентную в настоящее время примерно 23 миллионам евро Фото: Вадим Ахметов © URA.RUВ Германии закрыли сервер крупнейший русскоязычный даркнет-рынка omg Market. Об этом говорится в сообщении федерального ведомства уголовной полиции.«Были конфискованы биткоины на сумму, эквивалентную в настоящее время примерно 23 миллионам евро, которые относятся к торговой площадке», — такие сведения передают РИА «Новости» со ссылкой на источники, знакомые с ситуацией. Отмечается, что на платформе были зарегистрированы более 19 тысяч продавцов и около 17 миллионов пользователей. Также сообщается, что там велась незаконная торговля наркотиками, украденными данными, поддельными документами и цифровыми услугами. В 2020 году ее продажи составили не менее 1,23 миллиарда евро.Коммерческие сайты в даркнете работают через браузер Tor. Ранее депутат Госдумы заявлял, что блокировка TOR поможет снизить преступность в России. По его словам, число мошеннических схем увеличивается. За последний год почти 100% рост этих преступлений, и десятки миллиардов рублей наши граждане теряют на этом. Во многих этих схемах так или иначе используется этот сервис. Он поддерживает ограничение этого сервиса. По его словам это создаст сложности мошенникам. После Роскомнадзор заблокировал Tor на территории России. Браузер был внесен в черный список Роскомнадзора. Информацию о блокировке доступа к Tor в России подтвердили ее разработчики.В Германии закрыли сервер крупнейший русскоязычный даркнет-рынка omg Market. Об этом говорится в сообщении федерального ведомства уголовной полиции. «Были конфискованы биткоины на сумму, эквивалентную в настоящее время примерно 23 миллионам евро, которые относятся к торговой площадке», — такие сведения передают РИА «Новости» со ссылкой на источники, знакомые с ситуацией. Отмечается, что на платформе были зарегистрированы более 19 тысяч продавцов и около 17 миллионов пользователей. Также сообщается, что там велась незаконная торговля наркотиками, украденными данными, поддельными документами и цифровыми услугами. В 2020 году ее продажи составили не менее 1,23 миллиарда евро. Коммерческие сайты в даркнете работают через браузер Tor. Ранее депутат Госдумы заявлял, что блокировка TOR поможет снизить преступность в России. По его словам, число мошеннических схем увеличивается. За последний год почти 100% рост этих преступлений, и десятки миллиардов рублей наши граждане теряют на этом. Во многих этих схемах так или иначе используется этот сервис. Он поддерживает ограничение этого сервиса. По его словам это создаст сложности мошенникам. После Роскомнадзор заблокировал Tor на территории России. Браузер был внесен в черный список Роскомнадзора. Информацию о блокировке доступа к Tor в России подтвердили ее разработчики.