Используя троянизированную версию официального пакета браузера Tor, киберпреступники, стоящие за этой кампанией, добились весьма больших успехов – на сегодня их учетные записи pastebin.com имеют более 500 000 просмотров, а кроме того, они смогли украсть более 40 000 долларов США в биткойнах.

Вредоносные домены

Этот недавно обнаруженный троянизированный браузер Tor распространяется с использованием двух веб-сайтов, которые заявляют, что распространяют официальную русскоязычную версию браузера Tor. Первый такой сайт отображает сообщение на русском языке, в котором утверждается, что у посетителя установлен устаревший браузер Tor. Сообщение отображается, даже если у посетителя установлена самая последняя версия браузера Tor.

Рисунок 1. Фальшивое сообщение об устаревшем браузере, отображенное на torproect[.]org

При нажатии кнопки «Обновить Tor Браузер» посетитель перенаправляется на второй веб-сайт с возможностью загрузки установщика Windows. Нет никаких признаков того, что этот же сайт распространял версии для Linux, macOS или мобильных устройств.

Рисунок 2. Фальшивый веб-сайт браузера Tor с возможностью скачивания

Оба этих домена – tor-browser[.]org и torproect[.]org – были созданы в 2014 году. Вредоносный домен torproect[.]org домен очень похож на настоящий torproject.org; в нем просто пропущена одна буква. У русскоязычных жертв пропавшая буква может не вызвать никаких подозрений, поскольку «torproect» выглядит как транслитерация из кириллицы. Тем не менее, не похоже, что преступники опирались на тайпсквоттинг, потому что они продвигали оба эти веб-сайта на различных ресурсах.

Распространение

В 2017 году и в начале 2018 года киберпреступники продвигали веб-страницы троянизированного браузера Tor, используя спам-сообщения на различных российских форумах. Эти сообщения содержат различные темы, в том числе о рынках даркнета, криптовалютах, конфиденциальности в Интернете и обходе цензуры. В частности, в некоторых из этих сообщений упоминается Роскомнадзор, российское государственное учреждение, отвечающее за цензуру в СМИ и телекоммуникациях.

Рисунок 3. Пример спам-сообщения, продвигающего tor-browser[.]org

Рисунок 4. Пример спам-сообщения, продвигающего torproect[.]org

В апреле и марте 2018 года преступники начали использовать веб-сервис pastebin.com для продвижения обоих доменов, связанных с фальшивой веб-страницей браузера Tor. В частности, они создали четыре учетные записи и сгенерировали множество вставок, оптимизированных для поисковых систем с целью получения высокого рейтинга для слов, охватывающих такие темы, как наркотики, криптовалюта, обход цензуры и имена российских политиков.

Идея заключается в том, что потенциальная жертва будет выполнять онлайн-поиск по определенным ключевым словам и в какой-то момент посетит сгенерированную вставку. У каждой такой вставки есть заголовок, который продвигает фальшивый сайт.

Рисунок 5. Заголовок вставки, которая продвигает фальшивые веб-сайты браузера Tor

This translates to English:

Преступники заявляют, что эта версия браузера Tor имеет функцию защиты от капчи, но на самом деле это не так.

Рисунок 6. Пример вставки с ключевыми словами, связанными с браузером Tor

Все вставки из четырех разных учетных записей были просмотрены более 500 000 раз. Однако мы не можем сказать, сколько людей из тех, кто их просматривал, действительно посетили веб-сайты и загрузили троянизированную версию браузера Tor.

Анализ

Этот троянизированный браузер Tor является полнофункциональным приложением. Фактически, он основан на браузере Tor 7.5, который был выпущен в январе 2018 года. Таким образом, люди, не подкованные технически, вероятно, и не заметят никакой разницы между исходной версией и троянизированной.

В исходный код браузера Tor не было внесено никаких изменений; все бинарные файлы Windows точно такие же, как и в оригинальной версии. Однако преступники изменили настройки браузера по умолчанию и некоторые расширения.

Рисунок 7. Измененные настройки троянизированного браузера Tor в extension-overrides.js

Преступники стараются помешать жертвам обновить троянизированную версию Tor до более новой версии, поскольку в этом случае она будет обновлена не до троянизированной, а до законной версии. Вот почему они отключили все виды обновлений в настройках и даже переименовали инструмент обновления из updater.exe в updater.exe0.

В дополнение к измененным настройкам обновления, злоумышленники изменили User-Agent по умолчанию на уникальное жестко закодированное значение:

Mozilla/5.0 (Windows NT 6.1; rv:77777.0) Gecko/20100101 Firefox/52.0

Все жертвы троянизированного браузера Tor будут использовать один и тот же User-Agent; таким образом, он может использоваться злоумышленниками в качестве отличительной метки для того, чтобы на стороне сервера определить, использует ли жертва эту троянизированную версию.

Наиболее важным изменением являются настройки xpinstall.signatures.required, которые отключают проверку цифровой подписи для установленных надстроек браузера Tor. Таким образом, злоумышленники могут изменить любую надстройку, и она будет загружена браузером без каких-либо жалоб на то, что она не проходит проверку цифровой подписи.

Кроме того, злоумышленники изменили надстройку HTTPS Everywhere, включенную в браузер, в частности ее файл manifest.json. Изменение добавляет скрипт контента (script.js), который будет выполняться при загрузке в контексте каждой веб-страницы.

Рисунок 8. Разница между оригинальным manifest.json (слева) и измененным (справа)

Этот внедренный скрипт уведомляет командный сервер о текущем адресе веб-страницы и загружает полезные данные JavaScript, которые будут выполняться в контексте текущей страницы. Командный сервер расположен в луковом домене, что означает, что он доступен только через Tor.

Рисунок 9. Внедренный скрипт выполняется в контексте каждой веб-страницы

Поскольку злоумышленники этой кампании знают, какой веб-сайт в настоящее время посещает жертва, они могут обслуживать разные полезные данные JavaScript для разных веб-сайтов. Однако в данном случае это не так: во время нашего исследования полезные данные JavaScript всегда были одинаковыми для всех посещенных нами страниц.

Полезные данные JavaScript работают как стандартный webinject, что означает, что он может взаимодействовать с контентом сайта и выполнять определенные действия. Например, он может захватывать, очищать, скрывать или вставлять содержимое посещенной страницы, отображать фальшивые сообщения и т. п.

Однако следует отметить, что деанонимизация жертвы является сложной задачей, поскольку полезные данные JavaScript выполняются в контексте браузера Tor и не имеют доступа к реальному IP-адресу или другим физическим характеристикам машины жертвы.

Рынки даркнета

Единственные полезные данные JavaScript, которые мы видели, предназначены для трех крупнейших русскоязычных рынков даркнета. Эти полезные данные пытаются изменить QIWI (популярную российскую службу денежных переводов) или биткойн-кошельки, расположенные на страницах этих рынков.

Рисунок 10. Часть полезных данных JavaScript, предназначенных для изменения кошельков криптовалюты

После того как жертва заходит на страницу своего профиля, чтобы напрямую пополнить счет, используя биткойны, троянизированный браузер Tor автоматически заменяет исходный адрес на адрес, контролируемый преступниками.

Рисунок 11. Страница профиля рынка даркнета с измененным биткойн-адресом

В ходе нашего исследования мы идентифицировали три биткойн-кошелька, которые использовались в этой кампании с 2017 года. Каждый такой кошелек содержит относительно большое количество мелких транзакций; это говорит о том, что эти кошельки действительно использовались троянизированным браузером Tor.

Рисунок 12. Количество транзакций и полученных биткойнов на один из кошельков преступников

На момент написания статьи общая сумма полученных средств для всех трех кошельков составляет 4,8 биткойна, что соответствует более чем 40 000 долларов США. Следует отметить, что реальная сумма украденных денег выше, поскольку троянизированный браузер Tor изменяет и кошельки QIWI.

Выводы

Этот троянизированный браузер Tor представляет собой нестандартную форму вредоносных программ, предназначенных для кражи цифровой валюты у посетителей на рынках даркнета. Преступники не изменили бинарные компоненты браузера Tor; вместо этого они внесли изменения в настройки и расширение HTTPS Everywhere. Это позволило им красть цифровые деньги, оставаясь незамеченными, в течение нескольких лет.

Индикаторы взлома (IoCs)

Имена обнаружения ESET

JS/Agent.OBW
JS/Agent.OBX

SHA-1

33E50586481D2CC9A5C7FB1AC6842E3282A99E08

Домены

torproect[.]org
tor-browser[.]org
onion4fh3ko2ncex[.]onion

Учетные записи Pastebin

https://pastebin[.]com/u/antizaprethttps://pastebin[.]com/u/roscomnadzorhttps://pastebin[.]com/u/tor-browser-downloadhttps://pastebin[.]com/u/alex-navalniihttps://pastebin[.]com/u/navalniihttps://pastebin[.]com/u/obhod-blokirovki

Адреса биткойнов

3338V5E5DUetyfhTyCRPZLB5eASVdkEqQQ
3CEtinamJCciqSEgSLNoPpywWjviihYqrw
1FUPnTZNBmTJrSTvJFweJvUKxRVcaMG8oS

Техники MITRE ATT&CK

ТактикаИденти- фикаторНазваниеОписание
ВыполнениеT1204 Выполнение пользователяТроянизированный браузер Tor полагается на жертву, чтобы выполнить первоначальное проникновение.
ЗакреплениеT1176 Расширения браузераТроянизированный браузер Tor содержит измененное расширение HTTPS Everywhere.
Сбор данныхT1185 Человек в браузереТроянизированный браузер Tor может изменять содержимое, изменять поведение и перехватывать информацию, используя техники «человек в браузере».
Командование и управлениеT1188 Многократное проксированиеТроянизированный браузер Tor использует луковый сервис Tor для загрузки своих полезных данных JavaScript.
Командование и управлениеT1079 Многоуровневое шифрованиеТроянизированный браузер Tor использует луковый сервис Tor для загрузки своих полезных данных JavaScript.
ВоздействиеT1494 Манипуляция с данными о времени выполненияТроянизированный браузер Tor изменяет биткойны и кошельки QIWI на веб-страницах рынка даркнета.

Источник: Welivesecurity