مرورگر تقلبی Tor بیت کوین از کاربران دارک وب سرقت میکند
زوميت/ بهتازگي مرورگر تقلبي Tor بيت کوين کاربران دارک وب را سرقت کرده و محققان جزييات اين سرقت سايبري را کشف کردهاند. مهاجمان سايبري پشت عمليات سرقت بيت کوين از کابران دارک وب، سالها است که نسخهاي مخرب از مرورگر Tor را پخش و توزيع ميکنند تا از طريق اين نسخه به زيرساختهاي اينترنت دسترسي پيدا کنند. اين نسخه تقلبي توزيعشده يک سرقت رمزنگاري را نيز به همراه دارد که منجر به سرقت ۴/۸ بيت کوين شده است.
ورود به شبکه Tor يک الزام براي دسترسي به وب سايتهاي زيرزميني دارک وب است؛ در نتيجه اپراتورهاي کلاهبردار از اين فرصت استفاده کردند و نسخه خود از بسته Tor را در انجمنها و سايتهايي چون PasteBin بهعنوان «نسخه رسمي روسي زبان مرورگر Tor» تبليغ کردند. طبق گزارش ESET، در طول سالهاي ۲۰۱۷ و ۲۰۱۸، توزيع اين مرورگر تقلبي در حال انجام بوده است. بازديدکنندگان از طريق اين تبليغات به يک وبسايت ديگر که حاوي نسخهي تقلبي يادشده از مرورگر Tor بود، هدايت ميشدند و نسخه ويندوز مرورگر تقلبي را دريافت ميکردند. در حال حاضر، هيچ گزارشي از نصب اين مرورگر تقلبي در سيستمعامل مک، لينوکس يا نسخههاي موبايل وجود ندارد. پس از نصب نسخهي تقلبي از مرورگر Tor، تغييراتي در تنظيمات و افزونهها اعمال خواهد شد و استاندارد کاربر را مقداري تغيير ميدهد که ميتواند از سوي سرور به سرقت اطلاعات کاربر بپردازد. از سوي ديگر تنظيمات xpinstall.signatures.required نيز با دستکاري روبهرو خواهد شد. در نتيجه قابليت بررسي امضاي ديجيتالي که توسط سرويس قانوني Tor انجام ميشود تا از برنامههاي مخربي که ميتوانند ايمني و ناشناس بودن کاربر را به خطر بياندازد نيز در اين نسخه تقلبي غيرفعال خواهد شد. در واقع اين نسخهي مخرب از مرورگر Tor به مهاجمان امکان اصلاح، تغيير يا بارگيري افزونهها را خواهد داد. نسخهي مخرب مرورگر Tor، به مهاجمان امکان تغيير يا بارگيري افزونهها را خواهد داد. از سوي ديگر اين نسخهي مخرب، افزونهي HTTPS Everywhere بهصورت پيشفرض افزودن اسکريپتي را که در هر صفحه قرار دارد بارگذاري ميکند و فعاليت کاربر را مستقيماً به سرور فرمان و کنترل (C2) که توسط مهاجمين کنترل ميشود، ارسال خواهد کرد. C2 که در دارک وب واقع شده، ميزبان يک payload بوده که براي اجرا در مرورگر طراحي شده است. اين حمله JavaScript بهطور خاص، سه بازار بزرگ دارک وب روسي زبان را هدف قرار داده است. خريدهاي انجامشده در اين بازارها معمولاً با استفاده از ارز ديجيتال مانند بيتکوين انجام ميشود. اگر يک کاربر از اين دامنهها بازديد کرده و اقدام به خريد کند، اسکريپت فعال شده و تلاش ميکند تا آدرس کيف پول را تغيير دهد، در نهايت وجه پرداختي به کيف پول ديگري انتقال خواهد يافت. نميتوان گفت که ميزان تبليغات چقدر گسترده بوده است، اما محققان ميگويند که صفحات PasteBin براي ارتقاء اين مرورگر، حداقل نيم ميليون بار بازديد شدهاند؛ کيفهاي پول متعلق به اين مجرمان سايبري نيز داراي ۴/۸ بيتکوين معادل تقريبا ۴۰/۰۰۰ دلار بوده است اما ارزش واقعي صندوقهاي سرقتشده احتمالاً بالاتر خواهد بود. به هر جهت تاکتيک دستکاري نرمافزارهاي قانوني براي مقاصد مخرب يک امر رايج است و براي کاهش خطرات، هميشه بايد از منابع معتبر و رسمي براي دريافت نرمافزارهاي جديد استفاده کرد.