Jena, 25. Oktober 2019 – ESET Forscher haben eine seit vielen Jahren unbemerkt gebliebene Kampagne aufgedeckt. Cyberkriminelle haben hierzu eine kompromittierte Version des offiziellen Tor Browsers verteilt. Hierdurch können die Angreifer Nutzer ausspionieren und Bitcoins stehlen. Um den Browser zu verbreiten, haben ihn die Kriminellen in verschiedenen Foren und auf pastebin.com beworben. Ziel war es, Internetnutzer auf bestimmte Webseiten zu locken, die ihnen vorgaukeln, dass ihr Tor Browser veraltet sei und eine neue Version heruntergeladen werden muss. Nach der Installation ist der manipulierte Browser voll funktionsfähig, jedoch an einigen Stellen verändert. Zum Beispiel wurde die Update-Funktion deaktiviert. Zudem wurden einige Funktionen ergänzt. Will das Opfer eine Bitcoin-Transaktion durchführen, tauscht der Browser die ursprüngliche mit der von den Kriminellen kontrollierten Adresse aus.
"Diese Malware lässt die Kriminellen hinter dieser Kampagne sehen, welche Website das Opfer gerade besucht. Theoretisch können sie den Inhalt der besuchten Seite ändern, die Daten, die das Opfer in Formulare ausfüllt, erfassen und unter anderem gefälschte Nachrichten anzeigen", erklärt Anton Cherepanov, ESET Senior Malware Researcher, der die Forschung durchführte. "Während unserer Untersuchung haben wir drei Bitcoin-Wallets identifiziert, die seit 2017 in dieser Kampagne verwendet werden. Jede dieser Wallets enthält relativ viele kleine Transaktionen; wir betrachten dies als Bestätigung, dass diese Wallets tatsächlich vom trojanisierten Tor-Browser verwendet wurden."
Die Analyse sowie weitere Information gibt es auf WeLiveSecurity: https://www.welivesecurity.com/deutsch/2019/10/22/bitcoin-kompromittiertem-tor-browser-gestohlen/