در حال حاضر یک مرورگر Trojanized تور (Tor) خریداران بازار وبِ تاریک را مورد هدف قرار داده تا سرقت رمزنگاری خود را انجام دهند. تا کنون بیش از ۸۶۰ معامله در سه کیف پول مهاجمین ثبت شده است که حدود ۴۰،۰۰۰ دلار در رمزنگاری بیت کوین دریافت کرده اند.

جعل هویت دقیق

مرورگر Tor مخرب به عنوان نسخه روسی اصلی از طریق پست های Pastebin که بهینه سازی شده اند برای رتبه بالا در پرس و جوهای مربوط به مواد مخدر، رمزنگاری، دور زدن سانسور و سیاستمداران روسی بهینه شده است.
پیام های ناخواسته همچنین به بازیگر کمک می کند تا نسخه trojanized را که از دو دامنه، نسخه رسمی روسی نرم افزار را ارائه می کند، به قربانیان توزیع کند.

مجرمان سایبری در انتخاب دو نام دامنه (ایجاد شده در سال ۲۰۱۴) بسیار دقیق بودند زیرا به نظر می رسد که این یک قرارداد واقعی است: torproect [.]org وtor-browser[.]org
-برای بازدید کنندگان روسی زبان، “j” گمشده ممکن است به عنوان ترجمه ای از سیریلیک دیده شود و علاوه بر این، طراحی صفحات تا حدی از سایت رسمی پروژه تقلید می شود. فرود در یکی از این صفحه ها به بازدید کننده هشدار می دهد که مرورگر آنها بدون در نظر گرفتن نسخه، به نسخه روزتبدیل خواهد شده است.

ترجمه شده به انگلیسی، در این پیام آمده است:
“ناشناس بودن در معرض خطر است! هشدار: مرورگر تور(Tor) شما قدیمی است. با کلیک بر روی دکمه” بروزرسانی کنید”
در پیام های Pastebin، مجرمان سایبری تبلیغ می کنند که کاربران از ویژگی های ضد captcha بهره مند می شوند وسرعت به مقصد رسیدن را افزایش میدهد.
البته این درست نیست زیرا در زیر این برنامهُ ناشناس Tor Browser نسخه ۷.۵ از پروژه رسمی است که در ژانویه سال ۲۰۱۸ منتشر شده است.

دریافت Cryptocurrency

اسکریپت بارگیری شده می تواند صفحه را با سرقت محتوا در فرم ها، مخفی کردن محتوای اصلی، نشان دادن پیام های جعلی یا اضافه کردن محتوای خاص خود تغییر دهد.
این قابلیت ها به اسکریپت اجازه می دهد تا در زمان واقعی، کیف پول مقصد را برای معاملات رمزنگاری جایگزین کند. جاوا اسکریپت مشاهده شده توسط ESET دقیقاً این کار را انجام می دهد.

محققان می گویند که هدف مجرمان سه بازار بزرگ تیرهُ روسی زبان است. برای بارگیری که مشاهده شده (تصویر بالا)، اسکریپت نیز جزئیات مربوط به خدمات پرداخت Qiwi را تغییر می دهد. هنگامی که قربانیان بودجه بیت کوین را به حساب خود اضافه می کنند، اسکریپت پرش می کند و آدرس کیف پول را با آدرس متعلق به مهاجمان تغییر می دهد. از آنجا که کیف پول های cryptocurrency رشته بزرگی از کاراکترهای مختلف هستند، کاربران تغییر این کاراکترها را متوجّه نمی شوند.

در لحظه انتشاراین مقاله ، سه کیف پول رمزنگاری كنترل شده توسط مهاجمان ۸۶۳ معامله را ثبت كرده.  اینها نقل وانتقالات كوچكی هستند كه از این تئوری پشتیبانی می كنند كه این وجوه از طریق مرورگر Tor Trojanized تأمین می شوند.  یکی از آنها بیش از ۳۷۰ تراکنش و بیش از ۲۰،۰۰۰ دلار دریافت کرده است.  با این حال، بیشترین تعادل در حال حاضر حدود ۵۰ دلار در یک کیف پول و کمتر از ۲ دلار در دو کیف پول دیگر است.


دوست داشتید؟ لطفا با دوستان خود به اشتراک بگذارید.

132

یک نظر

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *