Этот вредонос распространяется под видом популярного браузера Tor, который используется для анонимного серфинга в интернете. Мы расскажем, как работает этот троянец, какие валюты находятся под угрозой и как защитить свои активы от кражи.
История атак
Злоумышленники научились заменять содержимое буфера обмена более 10 лет назад. Всё началось с банковских троянов, которые атаковали пользователей определённых банков и заменяли номер счета жертвы, скопированный в буфер обмена.
Поэтому в 2013 году команда CERT Polska опубликовала отчёт, в котором предупредила клиентов польских банков о данной угрозе.
Однако для того чтобы атака была успешной, злоумышленник должен был иметь возможность идентифицировать конкретную среду онлайн-банкинга, используемую жертвой.
Кроме того, другие банковские реквизиты (такие как SWIFT-код, отделение и т. д.) должны были совпадать с учётной записью преступников, чтобы перевод состоялся.
Переход к глобальным, нейтральным к поставщикам технологиям, таким как криптокошельки, значительно упростил работу злоумышленников.
Кроме того, когда стоимость криптовалют начала значительно расти, цифровая валюта стала прибыльной целью. Затем мы обнаружили первые атаки на владельцев криптовалют путём замены содержимого буфера обмена.
Злоумышленники использовали тот же вредоносный код для создания различных вредоносных программ. Наши решения обнаруживают несколько строк с помощью общего решения – Generic.ClipBanker.
Чем опасны зловреды, которые подменяют данные в буфере обмена?
Несмотря на то, что атаки на переопределение буфера обмена просты, они гораздо опаснее, чем кажется на первый взгляд. Не только потому, что украденные деньги трудно вернуть, но и потому, что атаки абсолютно незаметны для обычных пользователей.
Подумайте об этом: для достижения цели большинству вредоносных программ нужен канал связи между оператором и системой жертвы. Бэкдор требует канала управления, троян-шпион — канала для передачи украденных данных, а майнер криптовалют также нуждается в подключении к сети.
Существует очень мало вредоносных программ, которые полностью самодостаточны и не требуют подключения к Интернету, но это самые опасные.
Хотя черви и вирусы не подключаются к командному серверу, они создают интенсивный сетевой трафик или увеличивают нагрузку на процессор или оперативную память.
Работы шифрования не менее заметны. Clippers, с другой стороны, могут оставаться анонимными годами: вы не заметите ни сетевой активности, ни других признаков их присутствия в вашей системе, пока они не заменят адрес кошелька.
Установщики браузера Tor с троянцем внутри
Некоторые модификации клипперов распространяются под видом браузера Tor, используемого для доступа к тёмному интернету. Это связано с блокировкой Tor в России в конце 2021 года.
Тогда Россия была второй по числу пользователей Tor — более 300 000 подключений в день (15% от общего числа).
Создатели вредоносного ПО воспользовались ситуацией и начали распространять среди русскоязычных пользователей заражённые установщики Tor.
Первые образцы появились в декабре 2021 года, а с августа 2022-го атаки с использованием torbrowser_ru.exe приняли массовый характер. Инсталляторы имитировали версии Tor с расширенным языковым пакетом.
Мы обнаружили сотни похожих установщиков, которые вели себя по одному и тому же сценарию.
Жертва загружает заражённый файл torbrowser.exe с постороннего ресурса и запускает его, считая, что устанавливает браузер Tor. Вредоносный установщик представляет собой RAR SFX-архив, который самораспаковывается и не защищён цифровой подписью.
В архиве три файла:
- Оригинальный установщик torbrowser.exe с действительной цифровой подписью Tor Project;
- Инструмент командной строки с произвольным именем для распаковки архива;
- Защищённый случайным паролем архив RAR.
Чтобы не вызвать подозрений, SFX-архив запускает оригинальный установщик torbrowser.exe, а вместе с ним — инструмент для распаковки защищённого паролем RAR-архива.
Пароль позволяет избежать обнаружения антивирусным решением с помощью статического сигнатурного анализа, но не препятствует обнаружению в песочнице.
Пароль и путь извлечения архива содержатся в троянизированном файле torbrowser.exe. Их можно выяснить с помощью ручного анализа. Вредоносный файл внедряется в одну из подпапок каталога AppData активного пользователя, запускает новый процесс и прописывает себя в автозагрузку. Для маскировки злоумышленник использует значок популярной программы, например, uTorrent.
Троян-клипер
Инсталлятор подводит выключатель к устройству в пассивном режиме и не пытается себя выдать.
Enigma 4.0 используется для защиты бизнес-приложений, что усложняет анализ вредоносного ПО. Автор мог применять взломанную версию без лицензии, но мы смогли извлечь серийный номер его системного диска: 9061E43A.
Этот зловред встраивается в программы с доступом к буферу обмена Windows и отслеживает изменения. Если в кэше найден текст, соответствующий встроенным регулярным выражениям, вредонос заменяет его случайным адресом из списка.
Шестнадцатеричный дамп извлечённых из зловреда данных с регулярными выражениями и ID кошелька злоумышленников
В этом образце мы обнаружили следующие регулярные выражения:
bc1[a-zA-HJ-NP-Z0-9]{35,99}($|\s) — Bitcoin
(^|\s)[3]{1}[a-km-zA-HJ-NP-Z1-9]{25,34}($|\s) — Litecoin/Bitcoin Legacy
(^|\s)D[5-9A-HJ-NP-U]{1}[1-9A-HJ-NP-Za-km-z]{32}($|\s) — Dogecoin
(^|\s)0x[A-Fa-f0-9]{40}($|\s) — ERC-20 (т. е. Ethereum, Tether, Ripple и др.)
(^|\s)[LM]{1}[a-km-zA-HJ-NP-Z1-9]{25,34}($|\s) — Litecoin Legacy
((^|\s)ltc1[a-zA-HJ-NP-Z0-9]{35,99}($|\s) — Litecoin
(^|\s)8[0-9A-B]{1}[1-9A-HJ-NP-Za-km-z]{93,117}($|\s) — Monero
(^|\s)4[0-9A-B]{1}[1-9A-HJ-NP-Za-km-z]{93,117}($|\s) — Monero
Каждое из этих выражений содержит тысячи возможных адресов биткойн-кошельков для замены. Внесение их в список запрещённых или отслеживание краж становится довольно сложным.
Однако у нас есть все эти адреса, и мы поделимся ими с исследователями киберугроз в приложении к этой статье.
Авторы зловреда оставили в нём возможность отключить его — для этого используется специальная комбинация клавиш (Ctrl+Alt+F10). При нажатии этих клавиш вредоносное ПО отключает перехват данных буфера обмена и завершает свою работу. Вероятно, эта комбинация была нужна для того, чтобы отключать зловреда на этапе тестирования.
Цели атак
Из примерно 16 000 случаев обнаружения вредоносного установщика Tor большая часть была зарегистрирована в России и Восточной Европе. В целом эта угроза затронула 52 страны по всему миру. По нашим данным, атаки затронули прежде всего следующие 10 стран:
- Россия
- Украина
- США
- Германия
- Узбекистан
- Беларусь
- Китай
- Нидерланды
- Великобритания
- Франция
Стоит отметить, что мы видим лишь небольшую часть всей картины. Общее количество заражений может быть в десятки раз выше.
Как защитить криптокошелёк от атаки
Чтобы избежать заражения, загружайте Tor-браузер только с официального сайта Tor Project — установщики с посторонних ресурсов могут содержать вредоносное ПО. Даже если вы случайно скачали зараженный файл, антивирусное ПО или сервис VirusTotal помогут выявить угрозу.
Проверить наличие клиппера можно с помощью Блокнота: скопируйте и вставьте адрес bc1heymalwarehowaboutyoureplacethisaddress. Если он изменился, в системе есть зловред. Проведите полное сканирование или переустановите систему.