Sekelompok penjahat dunia maya diduga menggunakan peramban (browser) Tor palsu untuk mencuri mata uang kripto (cryptocurrency) Bitcoin dari pengguna dark web. Menurut laporan ESET, perusahaan cybersecurity asal Slovakia, operasional itu diduga telah berjalan selama bertahun-tahun.
Para penyerang cyber di belakang operasi telah mendistribusikan versi malicious dari Browser Tor, yang diperlukan untuk mengakses inti dari Internet, selama bertahun-tahun - dan telah memasukkan pencuri cryptocurrency sebagai bonus.
Masuk ke jaringanTor menjadi persyaratan untuk mengakses situs dark web yang di-host di domain .onion. Menurut ESET, penjahat mempromosikan versi paket Tor palsunya di forum dan PasteBin sebagai browser resmi berbahasa Rusia selama 2017 dan 2018.
Pemasang Trojanized Tor juga dipromosikan di dua situs web yang salah ketik, tor-browser.org dan torproect.org. Di Rusia, domain menampilkan pesan yang memberi tahu pengunjung versi Tor mereka sudah usang dan berupaya mengarahkan mereka ke situs web lain yang berisi penginstal berbasis Windows. Saat ini, tidak ada tanda-tanda malicious macOS, Linux, atau versi seluler.
Jika diinstal, Tor Browser kustom berfungsi dengan cara yang sama dengan aplikasi yang sah. Namun, perubahan telah dibuat pada pengaturan dan ekstensi untuk secara diam-diam menonaktifkan pembaruan - bahkan sejauh mengubah nama alat pembaru - dan untuk mengubah User-Agent standar ke nilai yang dapat mendeteksi program menggunakan sisi server.
Pengaturan xpinstall.signatures.required juga telah dirusak. Pemeriksaan tanda tangan digital yang diterapkan oleh layanan Tor yang sah untuk mencegah program atau perangkat lunak jahat yang dapat membahayakan keselamatan pengguna dan anonimitas telah dinonaktifkan, memberi para penyerang carte blanche untuk memodifikasi, mengubah, atau memuat add-on.
Selain itu, add-on HTTPS Everywhere, termasuk secara default, telah dimodifikasi untuk menambahkan skrip yang memuat pada setiap halaman web dan mengirimkan aktivitas penjelajahan pengguna secara langsung ke server Comand-and-Control (C2) yang dikendalikan oleh penyerang.
Terletak di Dark Web, C2 juga menampung muatan yang dirancang untuk dieksekusi di browser. Muatan JavaScript ini secara khusus menargetkan tiga pasar Dark Web besar berbahasa Rusia. Pembelian yang dilakukan di pasar ini biasanya dilakukan dengan menggunakan cryptocurrency seperti Bitcoin (BTC) untuk menutupi transaksi dan identitas pengguna.
Jika pengguna mengunjungi domain ini dan mencoba melakukan pembelian dengan menambahkan dana ke dompet mereka, skrip mengaktifkan dan mencoba untuk mengubah alamat dompet, dengan demikian memastikan dana dikirim ke dompet yang dikendalikan penyerang sebagai gantinya. Payload juga akan mencoba mengubah alamat dompet yang ditawarkan oleh layanan pengiriman uang Rusia QIWI.
"Secara teori, penyerang dapat melayani muatan yang dibuat khusus untuk situs web tertentu. Namun, selama penelitian kami, muatan JavaScript selalu sama untuk semua halaman yang kami kunjungi," kata para peneliti.
Tidak mungkin untuk mengatakan seberapa luas kampanye ini, tetapi para peneliti mengatakan bahwa halaman-halaman PasteBin yang mempromosikan peramban Trojan telah dikunjungi setidaknya setengah juta kali, dan dompet yang diketahui dimiliki oleh penjahat dunia maya memiliki penyimpanan 4,8 BTC - setara dengan sekitar $ 40.000 .
ESET percaya bahwa nilai aktual dari dana curian kemungkinan akan lebih tinggi mengingat adanya kompromi tambahan dari dompet QIWI. Baik berbasis bahasa Rusia atau tidak, mengunduh perangkat lunak dari situs web pihak ketiga alih-alih repositori resmi juga berisiko. Taktik mengutak-atik perangkat lunak yang sah untuk tujuan jahat adalah yang populer, dan untuk mengurangi risiko kompromi, Anda harus selalu memeriksa sumber unduhan perangkat lunak baru.
Sumber Artikel : ZDnet
