Киберпреступники несколько лет распространяли инфицированный браузер Tor, используя его для слежки за жертвами и кражи их биткоинов. Заражённый веб-обозреватель распространялся через различные форумы под видом официальной русскоязычной версии Tor Browser.
Зловред позволяет злоумышленникам видеть, какие сайты жертва посещает в данный момент. Теоретически они также могут менять содержимое посещаемой страницы, перехватывать вводимые данные и показывать фальшивые сообщения на сайтах.
"Преступники не меняли бинарные файлы браузера. Вместо этого они внесли изменения в настройки и расширения, поэтому обычные пользователи могли не заметить разницы между оригинальной и зараженной версиями", - говорят эксперты ESET.
Схема атаки также предусматривает изменение адреса кошельков платёжной системы QIWI. Вредоносная версия Tor автоматически подменяет оригинальный адрес биткоин-кошелька на адрес преступников, когда жертва пытается оплатить покупку биткоинами.
Ущерб от действий злоумышленников составил как минимум 2,5 млн рублей. Реальный же размер хищений средств может оказаться гораздо больше.