Злоумышленники на лету подменяют биткоин кошельки в браузерах пользователей, чтобы перехватить отправляемые средства.
Неизвестная киберпреступная группа добавляла в сеть Tor серверы с целью осуществления атаки SSL stripping на пользователей браузера Tor, проводящих операции с криптовалютами. Их задачей была подмена целевых BTC-адресов прямо в трафике, тем самым лишая своих жертв цифровой валюты.
Киберпреступники начали свою активность в январе 2020 года, и к маю 2020 года контролировали четверть всех выходных узлов сети Tor (23,95% или 380 штук). Через эти сервера пользовательский трафик покидает сеть Tor и выходит в открытый интернет.
Как сообщает исследователь безопасности Nusenu, масштаб операции определить сложно, но ему удалось выявить почти четыре сотни вредоносных выходных узлов, которые находились под управлением злоумышленников на пике операции.
Манипулируя трафиком, проходящим через подконтрольные выходные узлы Tor, злоумышленники применяли технику атаки посредника «человек посередине» (MITM, Man in-the-middle) на пользователей браузера Tor. В частности их интересовали посетители сайтов, связанных с криптовалютами.
Говоря точнее, киберпреступники осуществляли так называемый SSL stripping – откатывали HTTPS-трафик пользователей до менее безопасного HTTP. Как пояснил Nusenu, целью злоумышленников была замена биткойн-адресов внутри HTTP-трафика, отправляемого на биткойн-миксеры (сервисы анонимизации криптовалютных транзакций). Меняя биткойн-адреса на уровне HTTP-трафика, киберпреступники успешно перехватывали криптовалюту незаметно для ее владельцев.
Используя технику под названием "SSL Stripping", злоумышленники меняли зашифрованный HTTPS-трафик пользователей на незашифрованный HTTP, что позволяло им свободно анализировать и модифицировать по своему усмотрению перехваченные данные перед тем, как те покинут сеть Tor. Таким образом, они получили возможность искать в пользовательском трафике адреса Bitcoin-кошельков, а затем подменять их на свои.
В результате атаки, пользователь Tor Browser при попытке перевести средства со своего Bitcoin-кошелька на другой Bitcoin-кошелек, мог запросто отдать средства мошенникам.
В июне нынешнего года операторы сети Tor провели «чистку», значительно ослабив атакующие мощности злоумышленников. Им удалось существенно уменьшить влияние злоумышленников, однако, под их контролем остается еще более чем 10% трафика сети.
Понравилась публикация? Тогда делись с друзьями. А также не забудь подписаться на наш канал в Telegram и аккаунт в Twitter, чтобы всегда быть в курсе актуальных новостей и интересных статей!
Join the conversation.