Navegador Tor malicioso roba criptomonedas de usuarios de la Darknet
Una versión troyanizada del navegador Tor está dirigida a los compradores del mercado de la darknet, esto para robar sus criptomonedas y rastrear los sitios web que visitan.
Se han registrado más de 860 transacciones en tres de las billeteras de los atacantes, estas recibieron alrededor de $40,000 en criptomonedas de Bitcoin.
Suplantación cuidadosa
El navegador malicioso Tor se promociona activamente como la versión rusa del producto original a través de publicaciones en Pastebin que han sido optimizadas para aparecer en los primeros resultados en consultas de drogas, criptomonedas, evasión de censura y políticos rusos.
Los mensajes de spam también ayudan a los ciberdelincuentes a distribuir la variante troyanizada, que se envía desde dos dominios que afirman proporcionar la versión oficial rusa del software.
Los ciberdelincuentes tuvieron cuidado al seleccionar los dos nombres de dominio (creados en 2014) ya que para un usuario ruso parecen ser el verdadero negocio:
- tor-browser [.]org
- torproect [.] org – para los visitantes de habla rusa, la “j” que falta puede verse como una transcripción del cirílico
Además, el diseño de las páginas imita, en cierta medida, el sitio oficial del proyecto. El aterrizaje en una de estas páginas muestra al visitante una advertencia de que su navegador debe ser actualizado, independientemente de la versión que ejecute.
Traducido, el mensaje dice más o menos los siguiente:
“¡Tu anonimato está en peligro! ADVERTENCIA: Tu navegador Tor está desactualizado. Has clic en el botón “Actualizar”.
En los mensajes de Pastebin, los ciberdelincuentes anuncian que los usuarios se beneficiarían de la función anti-captcha que les permite llegar más rápido al destino.
Sin embargo, esto no es cierto. Debajo de este imitador del navegador Tor se encuentra la versión 7.5 del proyecto oficial, lanzado en enero de 2018.
Obteniendo la criptomoneda
El script descargado puede modificar la página robando contenido en formularios, ocultando contenido original, mostrando mensajes falsos o agregando su propio contenido.
Estas capacidades permiten que el script reemplace en tiempo real la billetera de destino para las transacciones de criptomonedas. El JavaScript observado por ESET hace exactamente esto.
Los objetivos son usuarios de los tres mayores mercados de redes oscuras de habla rusa, dicen los investigadores. Para el payload que observaron (imagen de arriba), el script también altera los detalles del proveedor de servicios de pago Qiwi.
Cuando las víctimas agregan fondos de Bitcoin a su cuenta, la secuencia de comandos interviene y cambia la dirección de la billetera con una que pertenezca a los atacantes.
Dado que las billeteras de criptomonedas son una gran cadena de caracteres aleatorios, es probable que los usuarios pierdan el intercambio.
En el momento de esta publicación, las tres billeteras de criptomonedas controladas por los atacantes registraron 863 transacciones. Estas son pequeñas transferencias, que respaldan la teoría de que los fondos vinieron a través del navegador Tor troyanizado.
Uno de ellos recibió más de $20,000 de más de 370 transacciones. Sin embargo, el saldo más grande actualmente es de alrededor de $50 en una billetera y menos de $2 en las otras dos.
Los tres monederos se han utilizado para este propósito desde 2017, según los constataron los investigadores. Aunque la cantidad de Bitcoins que pasaron por estas billeteras es de 4.8, el procedimiento total para los atacantes es probablemente mayor porque los detalles de pago de Qiwi también están alterados.