Хакери крадуть криптовалюту у росіян за допомогою фейкового браузера Tor

Спеціалісти з кібербезпеки розповіли про новий метод крадіжки цифрових активів у громадян держави-терориста. Хакери запустили свіжу кампанію з привласнення криптовалюти, для якої використовується фейкова копія браузера Tor.

Експерти зазначають — під виглядом браузера Tor хакери розповсюджують троян Cryp­to­Clip­per. При попаданні в систему програма маскується під іконку популярної програми, наприклад, uTor­rent, і реєструється в автозапуску. Як тільки кліпер виявляє в буфері обміну адресу, схожу на криптогаманець, він відразу її змінює на одну з адрес, яка належить зловмиснику.

Зі шкідливою кампанією зіткнулися понад 15 тисяч користувачів з 52 країн, причому більшість атак були зафіксовані на території загарбника. Однак, постраждалих виявили й в Узбекистані, Білорусі та Китаю. Також діяльність зловмисників фіксували й в Європі.

За оцінками експертів, у 2023 році за допомогою шкідливого ПЗ було вкрадено криптовалюти на суму понад $400 000. Крім того, кліпер здатний замінювати адреси криптогаманців Bit­coin, Ethereum, Lite­coin, Doge­coin та Mon­ero.

За даними спеціалістів, кліпер пасивний більшу частину часу, через що його важко зауважити. Більшість шкідливих програм потребують каналу зв’язку між оператором та системою жертви, але Cryp­to­Clip­per діє без зв’язку та повністю автономно. Таким чином, подібні програми можуть перебувати у системі користувача роками, не виявляючи ознак присутності.

Попри те, що громадяни країни-окупанта самі страждають від кібератак, їхні вітчизняні кіберзлочинці також не гребують атакувати інфраструктуру по всьому світі. Так згідно зі звітом дослідників кібербезпеки з Microsoft, найбільше російське хакерське угруповування Kill­Net з листопада 2022 року втричі збільшило кількість своїх DDoS-атак. За словами спеціалістів Microsoft Azure, у листопаді 2022 року таких кібернападів фіксували по 10−20 в день, а вже у лютому 2023 їхня кількість зросла до 40−60 атак на добу.