Browser Tor Palsu Curi Bitcoin dari Pengguna Dark Web
Ilustrasi | Foto: freepik.com
Cyberthreat.id – Sekelompok penjahat dunia maya diduga menggunakan peramban (browser) Tor palsu untuk mencuri mata uang kripto (cryptocurrency) Bitcoin dari pengguna dark web. Menurut laporan ESET, perusahaan cybersecurity asal Slovakia, operasional itu diduga telah berjalan selama bertahun-tahun.
Masuk ke jaringanTor menjadi persyaratan untuk mengakses situs dark web yang di-host di domain .onion. Menurut ESET, penjahat mempromosikan versi paket Tor palsunya di forum dan PasteBin sebagai browser resmi berbahasa Rusia selama 2017 dan 2018.
“Trojanized Tor” itu juga dipromosikan di dua situs web yang merupakan domain plesetan, seperti tor-browser.org dan torproect.org, demikian seperti diberitakan ZDNet, Jumat (18 Oktober 2019)
Jika diinstal, Tor itu akan berjalan layaknya aplikasi yang sah, tapi perubahan telah dibuat pada pengaturan dan ekstensi untuk secara diam-diam menonaktifkan pembaruan.
Pengaturan xpinstall.signatures.required juga telah dirusak. Pemeriksaan tanda tangan digital oleh layanan Tor yang sah-- untuk mencegah program atau perangkat lunak jahat yang mungkin dapat membahayakan keselamatan pengguna dan anonimitas--juga telah dinonaktifkan. Ini memberikan kesempatan penyerang carte blanche untuk memodifikasi, mengubah, atau memuat add-on.
Selain itu, add-on “HTTPS Everywhere” telah dimodifikasi untuk menambahkan skrip yang memuatnya pada setiap halaman web dan mengirimkan aktivitas penjelajahan pengguna secara langsung ke server perintah-dan-kontrol (C2) yang dikendalikan oleh penyerang.
C2 yang terletak di dark web juga menampung muatan yang dirancang untuk dieksekusi di browser. Muatan JavaScript ini secara khusus menargetkan tiga pasar dark web besar berbahasa Rusia. Pembelian yang dilakukan di pasar ini biasanya dilakukan menggunakan cryptocurrency seperti Bitcoin untuk menutupi transaksi dan identitas pengguna.
Jika pengguna mengunjungi domain tersebut dan mencoba melakukan pembelian dengan menambahkan dana ke dompet mereka, skrip mengaktifkan dan mencoba untuk mengubah alamat dompet. Dengan demikian, ini memastikan dana dikirim ke dompet yang dikendalikan penyerang sebagai.
Sulit untuk mengatakan seberapa luas kampanye ini, tetapi para peneliti mengatakan bahwa halaman-halaman PasteBin yang mempromosikan peramban Trojan telah dikunjungi setidaknya setengah juta kali, dan dompet yang diketahui dimiliki oleh penjahat dunia maya memiliki penyimpanan 4,8 BTC , setara dengan sekitar US$ 40.000 .
Taktik memodifikasi perangkat lunak yang sah untuk tujuan jahat adalah jamak dan populer dilakukan dan untuk mengurangi risiko berbahaya itu, pengguna harus selalu memeriksa sumber unduhan perangkat lunak.
Redaktur: Andi Nugroho
