Браузер-преступник: как злоумышленники используют Tor для кражи крипты

Команда исследователей из «Лаборатории Касперского» выявила новую кампанию, направленную на кражу криптовалюты. Как сообщают в компании, киберпреступники используют троянца CryptoClipper, распространяемый на сторонних интернет-ресурсах под видом браузера Tor. При попадании в систему, программа маскируется под иконку популярного приложения, например, uTorrent, и регистрируется в автозапуске. Как только зловред-клиппер обнаруживает в буфере обмена адрес, похожий на криптокошелёк, он тут же меняет его на один из адресов, принадлежащих злоумышленнику.

С вредоносной кампанией столкнулись более 15 тысяч пользователей из 52 стран, причем большинство атак были зафиксированы в России. США, Германия, Узбекистан, Беларусь, Китай, Нидерланды, Великобритания и Франция также попали в первую десятку стран по количеству жертв.

Согласно оценкам экспертов, в 2023 году с помощью зловреда было украдено криптовалюты на сумму более 400 тысяч долларов США. Кроме того, клиппер способен подменять адреса криптокошельков Bitcoin, Ethereum, Litecoin, Dogecoin и Monero.

По данным компании, зловред-клиппер пассивен большую часть времени, из-за чего его трудно заметить в системе. Большинство вредоносных программ требуют канала связи между оператором и системой жертвы, но CryptoClipper действует без связи и полностью автономен. Таким образом, подобные программы могут находиться в системе пользователя годами, не проявляя признаков присутствия, пока не достигнут цели – подмены адреса криптокошелька жертвы.