Uma onda de instaladores Trojanizados do Tor Browser mira russos e europeus orientais com malware que sequestra a área de transferência e rouba transações de criptomoedas dos usuários infectados.
Analistas da Kaspersky alertam que, embora esse ataque não seja novo ou particularmente criativo, ainda é eficaz e prevalente, infectando muitos usuários em todo o mundo.
Embora esses instaladores mal-intencionados do Tor visem países em todo o mundo, a Kaspersky diz que a maioria está mirando a Rússia e o leste europeu.
"Relacionamos isso com a proibição do site do Projeto Tor na Rússia no final de 2021, que foi relatada pelo próprio Projeto Tor", explica a Kaspersky.
"De acordo com este último, a Rússia foi o segundo maior país em número de usuários do Tor em 2021 (com mais de 300.000 usuários diários, ou 15% de todos os usuários do Tor)".
O Tor Browser é um navegador da web especializado que permite aos usuários navegar na web anonimamente, ocultando seu endereço IP e criptografando seu tráfego.
O Tor também pode ser usado para acessar domínios onion especiais, também conhecidos como "dark web", que não são indexados por mecanismos de pesquisa padrão ou acessíveis por meio de navegadores regulares.
Os detentores de criptomoedas podem usar o navegador Tor para aumentar sua privacidade e anonimato ao realizar transações com criptomoedas ou porque desejam acessar serviços ilegais de mercado da dark web, que são pagos em criptomoedas.
As instalações Trojanizadas do Tor são normalmente promovidas como versões "reforçadas de segurança" do fornecedor oficial, Projeto Tor, ou empurradas para usuários em países onde o Tor é proibido, tornando mais difícil baixar a versão oficial.
A Kaspersky diz que esses instaladores contêm uma versão padrão do navegador Tor, embora desatualizada na maioria dos casos, juntamente com um executável extra oculto dentro de um arquivo RAR protegido por senha definido para se autoextrair no sistema do usuário.
Os instaladores também são localizados com nomes como 'torbrowser_ru.exe' e contêm pacotes de idiomas permitindo que os usuários selecionem seu idioma preferido.
Enquanto o navegador Tor padrão é lançado em primeiro plano, o arquivo extrai o malware em segundo plano e o executa como um novo processo, registrando-o também no autostart do sistema.
Além disso, o malware usa um ícone do uTorrent para se esconder no sistema invadido.
A Kaspersky detectou 16.000 variantes desses instaladores do Tor entre agosto de 2022 e fevereiro de 2023 em 52 países, com base em dados de usuários de seus produtos de segurança.
Embora a maioria esteja mirando a Rússia e o leste europeu, eles também foram vistos mirando os Estados Unidos, Alemanha, China, França, Holanda e Reino Unido.
Como os endereços de criptomoedas são longos e complicados para digitar, é comum copiá-los primeiro para a área de transferência e depois colá-los em outro programa ou site.
O malware monitora a área de transferência em busca de endereços de carteira de criptomoedas reconhecíveis usando expressões regulares e, quando detecta um, o substitui por um endereço de criptomoeda associado aos atores ameaçadores.
Quando o usuário cola o endereço de criptomoeda, o endereço do ator ameaçador será colado em seu lugar, permitindo que os atacantes roubem a transação enviada.
A Kaspersky diz que o ator de ameaça usa milhares de endereços em cada amostra de malware, selecionados aleatoriamente de uma lista codificada.
Isso torna o rastreamento, relatório e bloqueio da carteira difícil.
A empresa de cibersegurança descompactou centenas de amostras de malware que coletou para extrair os endereços de substituição e descobriu que eles roubaram quase US$ 400.000, excluindo Monero, que não pode ser rastreado.
Este é o dinheiro roubado apenas de uma única campanha operada por um autor de malware específico, e quase certamente existem outras campanhas usando instaladores Trojanizados para diferentes softwares.
Para ficar seguro contra sequestradores de área de transferência, instale apenas software de fontes confiáveis/oficiais, neste caso, o site do Projeto Tor.
Um teste simples para verificar se um clipper o infectou é copiar e colar este endereço no Bloco de notas: bc1heymalwarehowaboutyoureplacethisaddress.
Se ele for alterado, significa que seu sistema está comprometido.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...