SEK pauser Telegram är $1.7 b cryptocurrency spela
Securities and Exchange Commission har tagit akuta åtgärder för att stoppa den digitala token erbjudande som redan har höjt $1,7 miljarder euro.
En dold kampanj för att beröva Mörka Webben användare av deras cryptocurrency har varit utsatt av forskare.
Den cyberattackers bakom verksamheten har varit att distribuera en skadlig version av Tor Browser, som krävs för att få tillgång buk av Internet, i flera år-och har inkluderat en cryptocurrency stealer som en bonus.
Inlägg i Tor-nätverket är ett krav för att få tillgång underground webbplatser som finns på .lök-domäner och för att kapitalisera på detta behov, den bedrägliga aktörer främjas deras version av Tor-paket på forum och PasteBin som den “officiella ryska versionen av Tor Browser,” under 2017 och 2018, enligt ESET.
Den Trojanized Tor installer är också främjas på två typosquatted webbplatser, tor-browser.org och torproect.org. I ryska, de domäner som visar meddelanden som informerar besökare deras Tor-versionen är föråldrade och försök att omdirigera dem till en annan hemsida som innehåller en Windows-baserade installationsprogrammet. I nuläget finns det inga tecken på en skadlig macOS, Linux, eller mobil version.
Om det är installerat, anpassade Tor Browser fungerar på samma sätt som legitim applikation. Men ändringar har gjorts i inställningar och tillägg för att i hemlighet inaktivera uppdateringar-till och med gå så långt som att byta namn på updater — och för att ändra standard User-Agent till ett värde som kan detektera programmets använda server-side.
Se även: Forskare uppfinna cryptocurrency plånbok som eliminerar “hela klasser” av sårbarheter
Den xpinstall.signaturer.inställningar som krävs har också ändrats. Den digitala signaturen in genomföras av legitima Tor service för att förhindra att skadliga program eller programvara som kan äventyra användarens säkerhet och anonymitet har varit med funktionshinder, att ge angripare carte blanche att modifiera, förändra eller load add-ons.
Dessutom HTTPS Överallt add-on, som ingår som standard har ändrats för att lägga till ett skript som laddar på varje webbsida och skickar användarens surfande direkt till ett kommando-och-kontroll (C2) server som kontrolleras av angripare.
Beläget i den Mörka Webben, C2 är också värd för en nyttolast som utformats för att köras i webbläsaren. Detta JavaScript nyttolast specifikt mål tre stora rysktalande Mörka Webben marknadsplatser.
CNET: Senator föreslår data privacy bill med allvarliga straff
Inköp som gjorts på dessa marknadsplatser är oftast gjort det med cryptocurrency sådana Bitcoins (BTC) i syfte att dölja transaktionen och användarens identitet.
Om en användare besöker dessa områden och försöker att göra ett köp genom att lägga pengar i sin plånbok, skriptet aktiveras och försök att ändra plånbok adress, därigenom säkerställa att medlen skickas till en angripare-kontrollerad plånbok istället.
Nyttolasten kommer också att försöka ändra på plånboken adresser som erbjuds av ryska tjänst för överföring av pengar QIWI.
“I teorin angripare kan tjäna nyttolaster som är skräddarsydda för särskilda webbplatser. Men under vår forskning, JavaScript nyttolast var alltid samma för alla sidor vi besökt,” forskarna säger.
TechRepublic: Palo Alto Networks upptäcker nya cryptojacking mask gruvdrift för Monero
Det är inte möjligt att säga hur utbrett det är en kampanj, men forskarna säger att PasteBin sidor främja Trojanized webbläsaren har besökt minst en halv miljon gånger, och känd plånböcker som ägs av cyberbrottslingar har 4.8 BTC lagras — vilket motsvarar ungefär $40,000.
ESET anser att det verkliga värdet av stulna medel sannolikt kommer att vara högre med tanke på de ytterligare en kompromiss av QIWI plånböcker.
Om ryska språket eller inte, ladda ner program från tredje parts webbplatser snarare än officiella förråden levereras med risk. Taktiken av manipulation med seriösa program för skadliga syften är ett populärt, och för att minska risken för kompromiss, bör du alltid kontrollera källan av nya nedladdningar.
Tidigare och relaterade täckning
Mannen ut för att köra crypto mining bluff under sken av spelutveckling
InnfiRAT malware döljer sig i din dator för att stjäla cryptocurrency plånbok data
Coinbase mulls över att föra Telegram till sin cryptocurrency handelsplattform
Har ett tips? Komma i kontakt säkert via WhatsApp | Signal på +447713 025 499, eller över på Keybase: charlie0
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter