SEK pauser Telegram er mere end $1,7 b cryptocurrency spil
Securities and Exchange Commission har taget akut indsats for at standse den digitale token tilbud, der allerede er rejst $1.7 milliarder.
En hemmelig kampagne for at fratage Mørke Web-brugere af deres cryptocurrency har været udsat for af forskere.
Den cyberattackers bag driften har været at uddele en ondsindet version af Tor Browser, der kræves for at få adgang til undersiden af Internettet, for år-og har inkluderet en cryptocurrency stealer som en bonus.
Indlæg i Tor-netværket er et krav for at få adgang til metro hjemmesider på .løg domæner, og at udnytte dette behov, piratfiskerne promoverede deres version af Tor-pakke på fora og PasteBin som den “officielle russiske udgave af Tor Browser,” i løbet af 2017 og 2018, i henhold til ESET.
Den Trojanized Tor installer er også fremmes på to typosquatted hjemmesider, tor-browser.org og torproect.org. I russisk, domæner vise beskeder informere besøgende deres Tor version er forældet og forsøg på at omdirigere dem til en anden hjemmeside, der indeholder en Windows-baseret installer. På nuværende tidspunkt er der ingen tegn på en ondsindet macOS, Linux, eller den mobile version.
Hvis den er installeret, brugerdefineret Tor Browser fungerer på samme måde som den legitime anvendelse. Imidlertid er foretaget ændringer i indstillinger og udvidelser til at skjulte deaktivere opdateringer — endda gå så langt som til at omdøbe opdaterings-værktøj-og til at ændre standard User-Agent til en værdi, der kan registrere program for at bruge server-side.
Se også: Forskere opfinde cryptocurrency tegnebog, der fjerner ‘hele klasser af sårbarheder
Den xpinstall.underskrifter.nødvendige indstillinger er også blevet manipuleret med. Den digitale signatur kontroller, som gennemføres af den legitime Tor service til at forhindre, at skadelige programmer eller software, der kan kompromittere brugerens sikkerhed og anonymitet er slået fra, giver angribere carte blanche til at modificere, ændre eller belastning add-ons.
Hertil kommer, at de HTTPS Overalt add-on, som er inkluderet som standard, er blevet modificeret til at tilføje et script, der indlæses på hver webside og sender brugerens browsing aktivitet direkte til en kommando-og-kontrol (C2) – server, der kontrolleres af hackere.
Beliggende i den Mørke Web, C2 er også vært for en nyttelast designet til at blive udført i browseren. Dette JavaScript nyttelast specifikt mål tre store russisk-talende Dark Web-markedspladser.
CNET: Senator foreslår, data, privacy regningen med alvorlige straffe
Indkøb foretaget på disse markeder er normalt udføres så ved hjælp af cryptocurrency som Bitcoins (BTC) – for at skjule transaktionen og brugerens identitet.
Hvis en bruger besøger disse domæner og forsøger at foretage et køb ved at tilføje midler til deres tegnebog, script aktiverer og forsøg på at ændre wallet-adresse, hvorved der sikres midler, der er sendt til en hacker-kontrolleret tegnebog i stedet.
Nyttelasten vil også forsøge at ændre wallet-adresser, der tilbydes af russiske penge, transport QIWI.
“I teorien, at angriberne kan tjene nyttelast, der er skræddersyet til bestemte websteder. Men, under vores forskning, JavaScript nyttelast var altid den samme for alle sider, som vi besøgte,” siger forskerne.
TechRepublic: Palo Alto Networks opdager nye cryptojacking orm minedrift for Monero
Det er ikke muligt at sige, hvor udbredt denne kampagne er, men forskerne siger, at PasteBin sider fremme Trojanized browseren har besøgt mindst en halv million gange, og er kendt tegnebøger, der ejes af it-kriminelle har 4.8 BTC gemt — svarende til omkring 40.000 dollars.
ESET mener, at den faktiske værdi af de stjålne midler, der er tilbøjelige til at være højere i betragtning af de yderligere kompromittering af QIWI tegnebøger.
Om russisk sprog-baseret eller ikke, downloade software fra tredjeparts websteder, snarere end de officielle repositories kommer med risiko. Den taktik af manipulation med lovlig software til skadelige formål er et populært, og til at mindske risikoen for kompromis, bør du altid tjekke den kilde af nye software-downloads.
Tidligere og relaterede dækning
Mand tiltalt for at køre crypto minedrift fidus under dække af, at udvikling af spil
InnfiRAT malware lurer i din maskine til at stjæle cryptocurrency tegnebogsdata
Coinbase grubler over at bringe Telegram til sin cryptocurrency handelsplatform
Har du et tip? Komme i kontakt sikkert via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre