Top Categories

Spotlight

Discord

todayoktober 24, 2019

Cybercrime Envicom

Discord veranderde in een Info Stealing achterdeur van Nieuw Malware

Een nieuwe malware richt zich op Discord Gebruikers door de Windows Discord Cliënt zo te wijzigen dat deze wordt omgezet in een achterdeur en een trojan voor het stelen van informatie. De Windows Discord Cliënt is een Electron Toepassing, wat betekent dat bijna alle functionaliteit is afgeleid van HTML, CSS en JavaScript. Hiermee kan malware zijn kernbestanden wijzigen, zodat de cliënt [...]


Schadelijke Tor Browser steelt cryptogeld van Darknet Market Gebruikers

Cybercrime Envicom todayoktober 21, 2019 10

Background
share close

Een trojanen versie van de Tor Browser richt zich op shoppers uit de donkere web markt om hun cryptogeld te stelen en de websites bij te houden die ze bezoeken.

Meer dan 860 transacties zijn geregistreerd in drie takenpakket van de aanvallers en die ongeveer $ 40.000 in Bitcoin Cryptogeld hebben ontvangen.

Nauwkeurige nabootsing

De kwaadaardige Tor Browser wordt actief gepromoot als de Russische versie van het originele product via berichten op Pastebin die zijn verbeterd om hoog te scoren in vragen over drugs, cryptogeld, censuuromleiding en Russische politici.

Spam berichten helpen de acteur (s) ook de Trojanen Variant te verspreiden, die wordt geleverd vanuit twee domeinen die beweren de officiële Russische versie van de software te bieden.

Cybercriminelen waren voorzichtig bij het selecteren van de twee domeinnamen (gemaakt in 2014), omdat ze voor een Russische gebruiker de echte deal lijken te zijn:

  • tor-browser [.] org
  • torproect [.] org – voor Russisch sprekende bezoekers kan de ontbrekende “j” worden gezien als een transliteratie van Cyrillic

Bovendien lijkt het ontwerp van de pagina’s tot op zekere hoogte op de officiële site van het project. Als u op een van deze pagina’s belandt, krijgt de bezoeker een waarschuwing dat zijn browser is bijgewerkt en of nu wel of niet de versie die hij uitvoert.

In het Engels vertaald, luidt het bericht:

“Uw anonimiteit is in gevaar! WAARSCHUWING: Uw Tor Browser is verouderd. Klik op de knop Update”

In Pastebin berichten adverteren de cybercriminelen dat gebruikers zouden profiteren van de Anti Captcha Functie waardoor ze sneller naar de bestemming kunnen gaan.

Dit is echter niet waar. Onder deze Tor Browser Imperator bevindt zich versie 7.5 van het officiële project, uitgebracht in januari 2018.

Cryptogeld verkrijgen

Het gedownloade script kan de pagina wijzigen door inhoud in formulieren te stelen, originele inhoud te verbergen, nepberichten te tonen of eigen inhoud toe te voegen.

Met deze mogelijkheden kan het script de bestemming takenpakket door Cryptogeld Transacties in realtime vervangen. Het door ESET waargenomen JavaScript doet precies dit.

De doelwitten zijn gebruikers van de 3 grootste Russisch sprekende darknet-markten, zeggen de onderzoekers. Voor de payload die ze hebben waargenomen (afbeelding hierboven), wijzigt het script ook de gegevens voor de Qiwi Betalingsdienst Aanbieder.

Wanneer slachtoffers Bitcoin Fondsen aan hun account toevoegen, springt het script in en verandert het takenpakket adres van een van de aanvallers.

Omdat Cryptogeld takenpakket een grote reeks willekeurige tekens zijn, zullen gebruikers stochastisch de swap missen.

Darknet-profiel met gewijzigd Bitcoin Adres

Op het moment van publicatie registreerden de drie cryptogeld takenpakket die door de aanvallers werden beheerd 863 transacties. Dit zijn kleine transfers, die de theorie ondersteunen dat het geld via de trojanen Tor Browser kwam.

Een van hen ontving meer dan $20.000 van meer dan 370 transacties. Het grootste saldo is nu echter ongeveer $50 in 1 portemonnee en minder dan $2 in de andere twee.

De 3 takenpakketten worden sinds 2017 voor dit doel gebruikt, vonden de onderzoekers. Maar toch het aantal Bitcoins dat door deze takenpakketten is gepasseerd 4,8 is, is de totale werkwijze voor de aanvallers stochastisch hoger, omdat de betalingsgegevens van Qiwi ook zijn gewijzigd.

Written by: Envicom

Tagged as: .

Rate it
Previous post

Post comments (0)

Leave a reply

Your email address will not be published. Required fields are marked *