Троян CryptoClipper распространяют через "усиленную сборку" Tor

Исследователи «Лаборатории Касперского» обнаружили новую кампанию по краже криптовалюты: под видом браузера Tor злоумышленники распространяют троян CryptoClipper. С этой вредоносной кампанией столкнулись более 15 000 пользователей в 52 странах мира, но больше всего атак было зафиксировано в России.

Также в первую десятку стран по количеству жертв злоумышленников вошли США, Германия, Узбекистан, Беларусь, Китай, Нидерланды, Великобритания и Франция. По оценкам экспертов, в 2023 году с помощью этой малвари было украдено криптовалюты на сумму более 400 000 долларов США.

Количество заражений
«Популярность» малвари среди россиян эксперты объясняют просто:

«Мы связываем это с блокировкой сайта Tor Project в России в конце 2021 года. Согласно последним данным, Россия была второй по величине страной по количеству пользователей Tor в 2021 году (более 300 000 пользователей в день, или 15% всех пользователей Tor)».

Вредоносные версии Tor, как правило, рекламируются как «усиленные» версии от Tor Project или предлагаются пользователям в странах, где Tor запрещен, что затрудняет загрузку официальной версии.

Исследователи пишут, что такие установщики содержат стандартную версию браузера Tor (в большинстве случаев устаревшую), а также дополнительный исполняемый файл, спрятанный в защищенном паролем архиве RAR, настроенном на самораспаковку в системе жертвы.

И пока обычный браузер Tor запускается, на фоне происходит извлечение архива малвари и запуск ее в виде нового процесс. Также угроза прописывается в автозагрузке. Отмечается, что нередко вредоносное ПО использует иконку uTorrent, чтобы скрыться во взломанной системе.



После этого CryptoClipper внимательно следит за содержимым буфера обмена. Как только туда попадает адрес криптовалютного кошелька, вредонос подменяет его на адрес злоумышленника.



Как уже сообщалось выше, по оценкам экспертов, в 2023 году с помощью этой малвари было украдено криптовалюты на сумму более 400 000 долларов США, и вредонос способен подменять адреса кошельков Bitcoin, Ethereum, Litecoin, Dogecoin и Monero.

29.03.2023
https://xakep.ru/2023/03/29/fake-tor/
https://www.bleepingcomputer.com/ne...target-russians-with-crypto-stealing-malware/​