Tor Browser のトロイの木馬 ：ロシア／東欧のユーザーを標的にしている

Trojanized Tor browsers target Russians with crypto-stealing malware

2023/03/28 BleepingComputer — トロイの木馬化した Tor Browser のインストーラーが急増し、ロシアや東欧のユーザーをターゲットにして、感染したユーザーの暗号通貨取引を盗むクリップボード・ハイジャック・マルウェアを仕掛けている。Kaspersky のアナリストたちは、この攻撃は新しくもなく、特に独創的でもないが、依然として効果が高く、世界中の多くのユーザーへの感染が蔓延していると警告している。Kaspersky によると、これらの悪意の Tor インストーラーは世界中の国々をターゲットにしているが、主な標的はロシアと東欧とのことだ。

Kaspersky は、「この件については、Tor Project 自身が報告した、2021年末のロシアにおける Tor Project Web サイトの禁止に関連付けられると、私たちは考えている。Tor Project のレポートによると、2021年の時点で、ロシアの１日のユーザー数は Tor ユーザー全体の 15％を占める 30万人以上で、 Tor ユーザー数が２番目に多い国だったようだ」と説明している。

悪質な Tor Browser のインストーラー

Tor Browser は、IP アドレスを隠し、トラフィックを暗号化することにより、匿名で Web を閲覧することができるスペシャルな Web ブラウザだ。

標準的な検索エンジンではインデックスされず、通常の Web ブラウザでもアクセスできない、別名「ダークウェブ」と呼ばれる、特別なオニオン・ドメインにアクセスする際にも、Tor が使われることがある。

暗号通貨保有者が、暗号通貨で取引する際のプライバシーや匿名性を高めるため、あるいは、暗号通貨で決済する違法ダークウェブ・マーケットのサービスにアクセスするために、Tor Browser を使用する場合がある。

一般的に、トロイの木馬化された Tor は、公式ベンダーである Tor Project の “セキュリティ強化版” として宣伝されたり、Tor が禁止されている国のユーザーに宣伝されたりするため、公式版のダウンロードが難しくなっている。

Kaspersky によると、ほとんどの場合において、これらのインストーラーには、古いとはいえ Tor Browser の標準バージョンと、ユーザーのシステム上で自己展開するように設定されパスワード保護された、RAR アーカイブの中に追加の実行ファイルを隠し持つという。

インストーラーは、”torbrowser_ru.exe” のような名前でローカライズされ、ユーザーが好みの言語を選択できるように言語パックを含んでいる。

標準の Tor Browser がフォアグラウンドで起動する一方で、アーカイブはバックグラウンドでマルウェアを抽出し、新しいプロセスとして実行すると同時に、システムの自動起動に登録する。さらに、マルウェアは uTorrent のアイコンを使用して、侵入したシステム上にその身を隠す。

Kaspersky は、同社のセキュリティ製品のユーザーからのデータをもとに、2022年8月から 2023年2月にかけて、52カ国で 16,000 個のこれらの Tor インストーラーの亜種を検出した。

大半はロシアと東欧をターゲットにしているが、米国／ドイツ／中国／フランス／オランダ／英国などをターゲットにしたものも確認されている。

クリップボード・ハイジャック

暗号通貨アドレスは長くて入力が複雑なため、まずクリップボードにコピーしてから、別のプログラムや Web サイトに貼り付けるのが一般的だ。

このマルウェアは、正規表現を使用して認識可能な暗号通貨ウォレット・アドレスをクリップボードで監視し、それが検出されると、脅威アクターが所有する関連暗号通貨アドレスに置き換える。

ユーザーが暗号通貨アドレスを貼り付けると、代わりに脅威アクターのアドレスが貼り付けられ、攻撃者は送信されたトランザクションを盗むことが可能となる。

Kaspersky によると、脅威アクターは各マルウェア・サンプルに数千のアドレスを使用しており、ハードコードされたリストからランダムに選択されているそうだ。このため、ウォレットの追跡／報告／禁止は困難だ。

同社は、交換用アドレスを抽出するために収集した、数百のマルウェア・サンプルを解凍したところ、追跡できない Monero を除き、約 $400,000 が盗み出されていたことが判明した。

これは、特定のマルウェアの開発者による、１つのキャンペーンから盗まれたものであり、異なるソフトウェアのトロイの木馬化インストーラーを使用した、他のキャンペーンもほぼ確実に存在する。

クリップボード・ハイジャッカーから身を守るには、信頼できる公式ソース (この場合は Tor Project の Web サイト) からしか、ソフトウェアをインストールしないようにする必要がある。

クリッパーに感染しているかどうかを確認する簡単なテストは、このアドレスをコピーしてメモ帳に貼り付けることだ： bc1heymalwarehowaboutyoureplacethisaddress.

もし変更されていたら、それはシステムが危険にさらされていることを意味する。

文中にある、ロシアにおける Tor をめぐる事件とは、2022/01/24 の「Tor Project が抗議：ロシアの裁判所が Tor ノードと Web サイトをブロック」のことなのでしょう。政府サイドと対立する Tor に対して、ロシアの裁判所が厳しい判決を下したようです。そこで、新たに Tor を入手することが難しくなり、このような悪意のインストール・パッケージが出回ることになったのかもしれません。よろしければ、以下の関連記事も、ご参照ください。

2023/01/14：Brave ブラウザの新機能 Snowflake：Tor へつなぐ
2022/07/15：Tor Browser 11.5 が登場：検閲回避を自動化
2022/03/08：Twitter の Tor Web サイトで検閲をバイパス！