Lonjakan penginstal Tor Browser yang di-trojan menargetkan orang Rusia dan Eropa Timur dengan malware pembajak clipboard yang mencuri transaksi mata uang kripto pengguna yang terinfeksi.
Analis Kaspersky memperingatkan bahwa meskipun serangan ini tidak baru atau sangat kreatif, serangan ini masih efektif dan lazim, menginfeksi banyak pengguna di seluruh dunia.
Sementara penginstal Tor jahat ini menargetkan negara-negara di seluruh dunia, Kaspersky mengatakan bahwa sebagian besar menargetkan Rusia dan Eropa Timur.
“Kami menghubungkan ini dengan pelarangan situs web Proyek Tor di Rusia pada akhir 2021, yaitu dilaporkan oleh Proyek Tor itu sendiri,” jelas Kaspersky.
“Menurut yang terakhir, Rusia adalah negara terbesar kedua berdasarkan jumlah pengguna Tor pada tahun 2021 (dengan lebih dari 300.000 pengguna harian, atau 15% dari semua pengguna Tor).”
Pemasang Peramban Tor Berbahaya
Tor Browser adalah browser web khusus yang memungkinkan pengguna menjelajahi web secara anonim dengan menyembunyikan alamat IP mereka dan mengenkripsi lalu lintas mereka.
Tor juga dapat digunakan untuk mengakses domain bawang khusus, atau dikenal sebagai “web gelap”, yang tidak diindeks oleh mesin pencari standar atau dapat diakses melalui browser biasa.
Pemegang Cryptocurrency dapat menggunakan browser Tor baik untuk meningkatkan privasi dan anonimitas mereka saat bertransaksi dengan cryptocurrency atau karena mereka ingin mengakses layanan pasar web gelap ilegal, yang dibayar dalam crypto.
Instalasi Tor yang di-Trojan biasanya dipromosikan sebagai versi “diperkuat keamanan” dari vendor resmi, Proyek Tor, atau didorong ke pengguna di negara-negara di mana Tor dilarang, membuatnya lebih sulit untuk mengunduh versi resmi.
Kaspersky mengatakan bahwa penginstal ini berisi versi standar dari browser Tor, meskipun dalam banyak kasus sudah ketinggalan zaman, bersama dengan executable tambahan yang tersembunyi di dalam arsip RAR yang dilindungi kata sandi yang disetel untuk mengekstrak sendiri pada sistem pengguna.
Pemasang juga dilokalkan dengan nama seperti ‘torbrowser_ru.exe,’ dan berisi paket bahasa yang memungkinkan pengguna memilih bahasa pilihan mereka.
Sumber: Kaspersky
Sementara browser Tor standar diluncurkan di latar depan, arsip mengekstrak malware di latar belakang dan menjalankannya sebagai proses baru sambil juga mendaftarkannya di mulai otomatis sistem. Selain itu, malware menggunakan ikon uTorrent untuk bersembunyi di sistem yang dilanggar.
.jpg)
Sumber: Kaspersky
Kaspersky telah mendeteksi 16.000 varian penginstal Tor ini antara Agustus 2022 dan Februari 2023 di 52 negara, berdasarkan data dari pengguna produk keamanannya.
Sementara mayoritas menargetkan Rusia dan Eropa Timur, mereka juga terlihat menargetkan Amerika Serikat, Jerman, Cina, Prancis, Belanda, dan Inggris.
Sumber: Kaspersky
Pembajakan papan klip
Karena alamat cryptocurrency panjang dan rumit untuk diketik, biasanya menyalinnya terlebih dahulu ke clipboard lalu menempelkannya ke program atau situs web lain.
Malware memantau clipboard untuk alamat dompet crypto yang dapat dikenali menggunakan ekspresi reguler, dan ketika terdeteksi, menggantinya dengan alamat cryptocurrency terkait yang dimiliki oleh pelaku ancaman.
Saat pengguna menempelkan alamat mata uang kripto, alamat pelaku ancaman akan ditempelkan, memungkinkan penyerang untuk mencuri transaksi yang dikirim.
Sumber: Kaspersky
Kaspersky mengatakan aktor ancaman menggunakan ribuan alamat pada setiap sampel malware, dipilih secara acak dari daftar hardcoded. Ini membuat pelacakan, pelaporan, dan pelarangan dompet menjadi sulit.
Perusahaan cybersecurity membongkar ratusan sampel malware yang telah dikumpulkannya untuk mengekstrak alamat pengganti dan menemukan bahwa mereka mencuri hampir $400.000, tidak termasuk Monero, yang tidak dapat dilacak.
Sumber: Kaspersky
Ini adalah uang yang dicuri hanya dari satu kampanye yang dioperasikan oleh pembuat malware tertentu, dan hampir pasti ada kampanye lain yang menggunakan penginstal trojan untuk perangkat lunak yang berbeda.
Agar tetap aman dari pembajak clipboard, instal hanya perangkat lunak dari sumber tepercaya / resmi, dalam hal ini, situs web Proyek Tor.
Tes sederhana untuk memeriksa apakah clipper telah menginfeksi Anda adalah dengan menyalin dan menempelkan alamat ini ke Notepad Anda: bc1heymalwarehowaboutyoureplacethisaddress.
Jika diubah, itu berarti sistem Anda terganggu.
