„Ši kenkėjiška programa nusikaltėliams leidžia matyti, ką naršyklės savininkas atlieka naršymo metu, kokias svetaines jis aplanko. Teoriškai galima teigti, kad nusikaltėliai gali pakeisti aplankytos svetainės turinį taip, kad vartotojas būtų įsitikinęs, jog lankosi saugioje svetainėje, vartotojui rodyti klaidingus pranešimus, prašančius suvesti jautrius duomenis.
Tokiu būdu iš vartotojo programišiai galėtų pasisavinti jo prisijungimo duomenis bei slaptažodžius ar bankininkystės duomenis, kuriuos šis buvo suvedęs aplankytoje svetainėje. Tačiau šiandien mes aptikome tik vieną konkrečią funkciją – kriptovaliutų piniginių sukeitimą“, – pranešime spaudai pavojingos programos veikimą apibūdino tyrimą vykdęs ESET vyr. kenkėjiškų programų tyrėjas Anton Cherepanov.
Kampanija buvo nukreipta į rusiškai kalbančius vartotojus, naršančius anoniminiame „Tor“ tinkle. Siekiant išplatinti kenkėjiškomis programomis užkrėstą naršyklę, nusikaltėliai „Tor“ naršyklę reklamavo įvairiuose forumuose bei per internetinę svetainę „pastebin.com“ ir ją pristatė kaip oficialią „Tor“ naršyklės versiją, pritaikytą rusiškai kalbantiems vartotojams.
„Pirmoje svetainėje vartotojas gaudavo pranešimą, kad jo dabartinė „Tor“ naršyklė yra pasenusios versijos, nors realybėje būdavo atvirkščiai. Ant sukčių kabliuko užkibę vartotojai būdavo nukreipiami į kitą svetainę su užkrėstos naršyklės diegimo failu“, – komentavo A.Cherepanov.
Įdiegus užkrėstą „Tor naršyklę, ji ima veikti kaip įprasta, visas funkcijas turinti aplikacija. „Nusikaltėliai nepakeitė pagrindinių naršyklės nustatymų, o visus pokyčius vykdė per naršyklės nustatymus ir priedus. Mažiau su šiomis technologijomis susipažinę vartotojai paprastai nepastebėdavo tokių pokyčių ir negalėdavo atskirti „Trojan“ virusais užkrėstos „Tor“ naršyklės nuo tikrosios jos versijos,“ – komentavo A.Cherepanov.
Su šiomis sukčių modifikacijomis dauguma atnaujinimų atsisiuntimų būdavo išjungiami, o vartotojo sąsaja konfigūruojama ir paslepiama taip, kad vartotojas nerastų atnaujinimo paleidimo funkcijos, kadangi atnaujinus naršyklę nusikaltėliai galėtų prarasti jos perėmimo ir valdymo galimybes.
Automatinis naršyklės priedų aptikimas taip pat būdavo išjungiamas, leidžiantis programišiams keisti, bet kuriuos naršyklės priedus, kuriuos be jokių trikdžių atpažindavo ir paleisdavo netikroji naršyklė. Nusikaltėliai atliko pakeitimus, kurie kreipdavosi į valdymo serverį su .onion domenu, todėl visas atakas buvo galima atlikti tik per „Tor“ naršyklę. Aukos aplankytose svetainėse buvo paleidžiamas „JavaScript“ užkratas.
„Teoriškai programišiai gali sukurti užkratus, kurie yra pritaikyti konkrečiai svetainei. Tačiau atlikus tyrimą aptikome, kad naudotas „JavaScript“ užkratas buvo toks pats kiekvienoje užkrėstoje svetainėje“, – komentavo A.Cherepanov.
„Tyrimo metu pavyko identifikuoti tris kriptovaliutų pinigines, kurios šia kampanija naudojosi nuo 2017 metų. Kiekviena tokia piniginė savyje talpino įtartinai didelį kiekį smulkių transakcijų. Manome, tai patvirtina, kad šios piniginės buvo naudojamos „Trojanų“ virusais užkrėstoje „Tor“ naršyklėje“, – komentavo A.Cherepanov.
ESET tyrėjams atlikus rezultatų analizę, visose trijose kriptovaliutų piniginėse buvo rasta apie 4,8 bitkoinų suma, kurią galime konvertuoti į 40 000 JAV dolerių. „Būtina atkreipti dėmesį, kad tikroji pavogtų pinigų suma gali būti žymiai didesnė, kadangi „Trojan“ virusais užkrėsta „Tor“ naršyklė taip pat galėjo pakenkti ir „QIWI“ piniginių savinkams“, – tyrimo įžvalgas apibendrino A.Cherepanov.
ESET Lietuva IT inžinierius Ramūnas Liubertas pateikė pastebėjimų apie šiuo metu Lietuvoje sparčiausiai plintančius kompiuterinius virusus ir kenkėjus – „Lietuvoje eilinis interneto vartotojas ganėtinai retai naudoja „Tor“ naršyklę, o šis virusas buvo pritaikytas būtent plisti kartu su „Tor“ rusiškąja versija. Pagal „ESET Threat Intelligence“ telemetrinius duomenis, būtent šio trojano pėdsakų (JS/Agent.OBW ir JS/Agent.OBX) Lietuvoje aptikta nebuvo, tačiau šiuo metu ypač plinta grėsmės (pvz.Win32/Exploit.CVE-2017-11882), išnaudojančios neatnaujintos operacinės sistemos pažeidžiamumus.
Pavyzdžiui, Win32/Exploit.CVE-2017-11882 kenkėjas į aukos kompiuterį bando patekti per prie el. laiško prisegtus failus, siunčiamus iš užkrėsto kompiuterio pašto dėžutės, arba vartotojui lankantis užkrėstose interneto svetainėse ir nesąmoningai parsisiunčiant vykdomąjį viruso failą. Kompiuteris užkrečiamas labai paprastai: neįdiegti naujausi kritiniai operacinės sistemos atnaujinimai bei naudojama pasenusi antivirusinė programa“, – komentuoja specialistas.