Россиян атакует троянизированный TOR Browser, ворующий криптовалюту

Татьяна Никитина 29 Марта 2023 - 18:27

Домашние пользователи

Лаборатория Касперского

Персональный VPN

Анонимайзеры

Трояны

...

Россиян атакует троянизированный TOR Browser, ворующий криптовалюту

В «Лаборатории Касперского» полгода наблюдают всплеск атак, использующих инсталлятор Tor Browser в связке с программой-клиппером. На настоящий момент зафиксировано почти 16 тыс. заражений, в том числе в странах бывшего СНГ.

Метод распространения вредоносного репака доподлинно неизвестен; не исключено, что его раздают с торрент-сайтов или из другого стороннего источника. В России, где браузер Tor очень популярен, официальный сайт проекта периодически блокируют; в Brave даже добавили плагин для обхода таких ограничений, а злоумышленники активизировались и пытаются воспользоваться ситуацией.

Первые вредоносные бандлы Tor Browser появились еще в конце 2021 года. В минувшем августе месячная норма детектов резко возросла и до сих пор измеряется тысячами. Зловреда выдают за локализованную версию инсталлятора (например, torbrowser_ru.exe) с возможностью выбора языка по умолчанию.

Эксперты зарегистрировали сотни схожих образцов с одинаковой схемой развертывания в системе. Загружаемый экзешник лишен цифровой подписи и на самом деле представляет собой архив RAR SFX, содержащий три файла:

оригинальный инсталлятор Tor Browser с валидной подписью,
запароленный RAR с кодом клиппера,
инструмент командной строки для распаковки RAR.

Легитимный инсталлятор запускается для отвода глаз, одновременно происходит активация клиппера, который обычно прикрыт иконкой какой-либо популярной программы — например, uTorrent. Вредонос стартует как новый процесс и прописывается в системе на автозапуск.

Все задачи выполняются в автономном режиме. Клиппер сканирует содержимое буфера обмена, используя встроенные regex; найдя в тексте совпадения, он заменяет адрес криптокошелька произвольным из вшитого в код списка.

По словам исследователей, такие перечни могут включать тысячи возможных вариантов. Зловреда также можно отключить, используя комбинацию горячих клавиш Ctrl+Alt+F10, — эта опция, видимо, была добавлена на стадии тестирования.

Заражения общим количеством более 15 тыс. обнаружены в 52 странах. Топ-10 составили (в убывающем порядке) Россия, Украина, США, Германия, Узбекистан, Белоруссия, Китай, Нидерланды, Великобритания, Франция.

Текущая киберкампания, по оценкам, принесла авторам атак около $400 тыс. в биткоинах, лайткоинах, догикоинах и эфирах. Количество украденных монеро определить не удалось из-за высокой степени приватности сервиса.

В Kaspersky не исключают, что масштабы бедствия на самом деле намного больше: злоумышленники могли троянизировать другие популярные программы и использовать менее очевидные методы распространения. Во избежание неприятностей пользователям рекомендуют загружать софт только из надежных и доверенных источников, а также не пренебрегать антивирусной защитой.

Следующая главная новость »

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!

Екатерина Быстрова 17 Февраля 2026 - 09:45

Windows Ошибки конфигурации программ Домашние пользователи Корпорации Microsoft

Февральское обновление Windows 11 вызвало бесконечную перезагрузку

Февральское обновление Microsoft для Windows 11 — KB5077181 — неожиданно стало источником серьёзных проблем. Пользователи жалуются на «бесконечную перезагрузку»: система после установки апдейта уходит в цикл рестартов и не загружается до рабочего стола.

Речь идёт о накопительном обновлении от 10 февраля 2026 года для Windows 11 версий 24H2 (сборка 26200.7840) и 25H2 (26100.7840). Пакет входит в традиционный Patch Tuesday и включает как патчи, так и улучшения качества, унаследованные от предыдущих обновлений.

По сообщениям на Reddit и профильных форумах, некоторые устройства после установки KB5077181 перезагружаются более 10-15 раз подряд. Войти в систему при этом невозможно.

Тем, кому всё же удаётся ненадолго попасть на рабочий стол, система показывает ошибки, связанные со службой System Event Notification Service (SENS) — например, сообщение «указанная процедура не найдена». Также упоминаются сбои DHCP, из-за которых пропадает интернет даже при активном подключении.

В других случаях обновление вообще не устанавливается — появляются коды ошибок 0x800f0983 и 0x800f0991. Это может говорить о зависимости проблемы от конкретного оборудования, драйверов или состояния системы обновлений.

KB5077181 — часть крупного февральского релиза, который, по данным Microsoft, закрывает 58 уязвимостей в компонентах Windows. Среди них — шесть 0-day, уже используемых в атаках и включённых в каталог CISA.

По состоянию на 15 февраля Microsoft не добавила информацию о «бесконечной перезагрузке» в раздел известных проблем на странице обновления или в панели состояния Windows.

Тем не менее количество жалоб в сообществах растёт.

Если Windows всё ещё запускается, пользователи советуют удалить обновление через Панель управления → Программы и компоненты → Просмотр установленных обновлений, а затем временно приостановить обновления, чтобы система не установила патч повторно.

Если устройство не загружается, можно воспользоваться средой восстановления Windows (прервать загрузку три раза подряд или использовать установочную флешку), открыть командную строку и выполнить:

wusa /uninstall /kb:5077181 /quiet /norestart

После восстановления рекомендуется проверить целостность системных файлов командой sfc /scannow.

Корпоративным пользователям эксперты советуют не разворачивать обновление массово, а тестировать его через поэтапные кольца (rings) или WSUS и внимательно отслеживать состояние загрузки устройств.

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!