Für den Diebstahl von Kryptowährungs-Einheiten haben Unbekannte eine ziemlich zielgruppenorientierte Möglichkeit gefunden. Sie schieben Nutzern des so genannten Darknets eine manipulierte Fassung ihres Lieblings-Tools zu.
Bei allen, die häufig im anonymisierten Tor-Netzwerk unterwegs sind und die dort versteckten Plattformen und Inhalte nutzen wollen, gehört der Tor-Browser zur Standard-Ausstattung. Denn die angepasste Fassung des Firefox stellt ohne größeren Konfigurations-Aufwand eine direkte Verbindung zum Tor-Netzwerk her. Entsprechend ist die Wahrscheinlichkeit auch hoch, mit einer manipulierten Version der Software Nutzer zu erreichen, die auch über die Möglichkeit verfügen, in diesem Bereich des Netzes Geldwerte zu transferieren.
Zumindest ist die Wahrscheinlichkeit höher, als bei beliebig adressierten Internet-Nutzern. Immerhin sind Kryptowährungen letztlich doch nur eine winzige Nische. Sicherheits-Forscher von ESET haben nun auch wirklich eine Fassung des Tor-Browsers entdeckt, die Schadroutinen enthält, mit denen Bitcoins und andere Einheiten vom User gestohlen werden.
Ziel Russland
Verbreitet wurde die Malware als "offizielle russische Sprach-Version des Tor-Browsers" in den Jahren 2017 und 2018. Die jeweiligen Downloads wurden unter den Domains "tor-browser.org" und "torproect.org" bereitgestellt, auf die potenzielle Interessenten dann gelockt wurden. Um die Besucher zum Download anzustacheln, wurde ihnen auf den Seiten suggeriert, dass ihr eigener Tor-Browser in einer veralteten Version vorläge und daher nicht mehr sicher sei.
Im Wesentlichen verhielt sich die manipulierte Software auch völlig wie das Original. Die Anbieter hatten lediglich einige Einstellungs-Optionen abgeschaltet, damit die Nutzer keine Veränderungen vornehmen, die unter Umständen die Schadroutinen beeinträchtigt hätten. Die Ausleitung von Bitcoins und Co. erfolgte dann, indem der Browser bei angestoßenen Transfers die Wallet-Adressen der Empfänger änderte.
Anmelden
Für den Diebstahl von Kryptowährungs-Einheiten haben Unbekannte eine ziemlich zielgruppenorientierte Möglichkeit gefunden. Sie schieben Nutzern des so genannten Darknets eine manipulierte Fassung ihres Lieblings-Tools zu.
Bei allen, die häufig im anonymisierten Tor-Netzwerk unterwegs sind und die dort versteckten Plattformen und Inhalte nutzen wollen, gehört der Tor-Browser zur Standard-Ausstattung. Denn die angepasste Fassung des Firefox stellt ohne größeren Konfigurations-Aufwand eine direkte Verbindung zum Tor-Netzwerk her. Entsprechend ist die Wahrscheinlichkeit auch hoch, mit einer manipulierten Version der Software Nutzer zu erreichen, die auch über die Möglichkeit verfügen, in diesem Bereich des Netzes Geldwerte zu transferieren.