Tor Browser

トロイの木馬化された Tor ブラウザー インストーラーの急増は、感染したユーザーの暗号通貨取引を盗むクリップボード ハイジャック マルウェアでロシア人と東ヨーロッパ人を標的にしています。

Kaspersky のアナリストは、この攻撃は新しいものでも特別に独創的なものでもありませんが、依然として効果的で蔓延しており、世界中の多くのユーザーに感染していると警告しています.

これらの悪意のある Tor インストーラーは世界中の国を標的にしていますが、Kaspersky によると、そのほとんどはロシアと東ヨーロッパを標的にしているとのことです。

「これは、Tor Project 自体によって報告された、2021 年末にロシアで Tor Project の Web サイトが禁止されたことに関連しています」とKasperskyは説明します。

「後者によると、ロシアは 2021 年の Tor ユーザー数で 2 番目に大きな国でした (1 日のユーザー数は 300,000 人以上、つまり全 Tor ユーザーの 15% です)。」

悪意のある Tor ブラウザ インストーラ

Tor Browser は、IP アドレスを非表示にしてトラフィックを暗号化することで、ユーザーが匿名で Web を閲覧できるようにする特殊な Web ブラウザーです。

Tor は、「ダーク Web」とも呼ばれる特別なオニオン ドメインへのアクセスにも使用される場合があります。これらのドメインは、標準の検索エンジンではインデックス化されず、通常のブラウザからはアクセスできません。

暗号通貨保有者は、暗号通貨で取引する際のプライバシーと匿名性を強化するため、または暗号通貨で支払われる違法なダークウェブ マーケット サービスにアクセスするために、Tor ブラウザーを使用する可能性があります。

トロイの木馬化された Tor インストールは通常、公式ベンダーである Tor プロジェクトの「セキュリティ強化」バージョンとして宣伝されるか、Tor が禁止されている国のユーザーにプッシュされ、公式バージョンのダウンロードが難しくなります。

Kaspersky によると、これらのインストーラーには、ほとんどの場合時代遅れではありますが、Tor ブラウザーの標準バージョンと、ユーザーのシステムで自己解凍するように設定されたパスワードで保護された RAR アーカイブ内に隠された追加の実行可能ファイルが含まれているとのことです。

インストーラーは「torbrowser_ru.exe」などの名前でローカライズされており、ユーザーが好みの言語を選択できる言語パックが含まれています。

悪意のある Tor ブラウザの言語パック
悪意のある Tor ブラウザの言語パック
出典:カスペルスキー

標準の Tor ブラウザーはフォアグラウンドで起動されますが、アーカイブはバックグラウンドでマルウェアを抽出し、システムの自動起動に登録しながら新しいプロセスとして実行します。さらに、マルウェアは uTorrent アイコンを使用して侵害されたシステムに隠れます。

トロイの木馬化された Tor の感染図
トロイの木馬化された Tor の感染図
出典:カスペルスキー

Kaspersky は、セキュリティ製品のユーザーからのデータに基づいて、2022 年 8 月から 2023 年 2 月までの間に 52 か国でこれらの Tor インストーラーの 16,000 の亜種を検出しました。

大多数はロシアと東ヨーロッパを標的にしていますが、米国、ドイツ、中国、フランス、オランダ、英国も標的にしているようです。

カスペルスキーが検出した月間感染数
カスペルスキーが検出した月間感染数
出典:カスペルスキー

クリップボードの乗っ取り

暗号通貨のアドレスは長くて入力が複雑なため、最初にクリップボードにコピーしてから別のプログラムや Web サイトに貼り付けるのが一般的です。

マルウェアは、正規表現を使用して認識可能な暗号ウォレット アドレスのクリップボードを監視し、検出された場合は、攻撃者が所有する関連する暗号通貨アドレスに置き換えます。

ユーザーが仮想通貨のアドレスを貼り付けると、代わりに攻撃者のアドレスが貼り付けられるため、攻撃者は送信されたトランザクションを盗むことができます。

正規表現によるウォレット アドレスの検出と置換
正規表現によるウォレット アドレスの検出と置換
出典:カスペルスキー

Kaspersky によると、脅威アクターは、ハードコードされたリストからランダムに選択された各マルウェア サンプルで数千のアドレスを使用しています。これにより、ウォレットの追跡、報告、禁止が困難になります。

サイバーセキュリティ会社は、代替アドレスを抽出するために収集した数百のマルウェア サンプルを解凍し、追跡できない Monero を除いて、約 40 万ドルを盗んだことを発見しました。

盗まれた金額の確認
盗まれた金額の確認
出典:カスペルスキー

これは、特定のマルウェア作成者によって運営された 1 つのキャンペーンからのみ盗まれた金銭であり、さまざまなソフトウェアのトロイの木馬化されたインストーラーを使用した他のキャンペーンがほぼ確実に存在します。

クリップボード ハイジャッカーから身を守るために、信頼できる公式ソース (この場合はTor プロジェクト Web サイト)からのみソフトウェアをインストールしてください。

クリッパーに感染したかどうかを確認する簡単なテストは、次のアドレスをコピーしてメモ帳に貼り付けることです: bc1heymalwarehowaboutyourreplacethisaddress.

変更されている場合は、システムが侵害されていることを意味します。