Utilizando una versión troyanizada de un Navegador Tor, los cibercriminales responsables de esta campaña han tenido bastante éxito. Hasta ahora, sus cuentas de pastebin.com han tenido más de 500 mil visitas y fueron capaces de robar más de 40.000 US$ en bitcoins. Este Navegador Tor troyanizado se ha estado propagando utilizando dos sitios web que afirman distribuir la versión oficial del navegador Tor en ruso. El primero de los sitios muestra al visitante un mensaje en ruso que dice que tiene un Navegador Tor obsoleto. El mensaje se muestra incluso si el visitante tiene la versión más actualizada del Navegador Tor.
Imagen por Alexander Geiger vía Shutterstock
El Falso mensaje que se muestra en el sitio torproect[.]org indicando que el navegador está desactualizado, traducido al español: ¡Tu anonimato está en peligro! ADVERTENCIA: Su navegador Tor no está actualizado Haga clic en el botón “Actualizar”. Al hacer clic en el botón “Actualizar el Navegador Tor”, el visitante es redirigido a un segundo sitio web con la posibilidad de descargar un instalador de Windows. No hay indicios de que el mismo sitio web haya distribuido versiones para Linux, macOS o para móviles. Ambos dominios, tor-browser[.]org y torproect[.]org, fueron creados en 2014. El dominio malicioso torproect[.]org es muy similar al sitio legítimo torproject.org; solo le falta una letra. De hecho, para las víctimas de habla rusa, la letra que falta puede no levantar sospechas debido al hecho de que “torproect” parece una transliteración del cirílico.
Distribución
En 2017 y a principios de 2018, los ciberdelincuentes promocionaron las páginas web del Navegador Tor troyanizado utilizando mensajes de spam en varios foros rusos. Dichos mensajes contenían varios tópicos, incluyendo mercados de la darknet, criptomonedas, privacidad en Internet y evasión de censura. Específicamente, algunos de estos mensajes mencionan a Roskomnadzor, una entidad del gobierno ruso para la censura en medios y telecomunicaciones.
Entre marzo y abril de 2018, los delincuentes comenzaron a utilizar el servicio web pastebin.com para promover los dos dominios relacionados con el falso Navegador Tor. Específicamente, crearon cuatro cuentas y generaron muchos pastes optimizados para que los motores de búsqueda los clasifiquen en buenas posiciones para palabras que tocan temas como drogas, criptomonedas, omisión de censura y nombres de los políticos rusos.
La lógica sobre la que se apoya esta estrategia es que una potencial víctima realizará una búsqueda en línea para palabras clave específicas y en algún momento terminará visitando uno de los pastes generados. Cada uno de estos paste tiene un encabezado que promueve el sitio web falso.
Esto se traduce al inglés:
BRO, descarga Tor Browser para que la policía no pueda verte. Los navegadores regulares muestran lo que está viendo, incluso a través de proxies y plugins de VPN. Tor cifra todo el tráfico y lo pasa a través de servidores aleatorios de todo el mundo. Es más confiable que una VPN o proxy y evita toda censura de Roskomnadzor. Aquí está el sitio web oficial del Navegador Tor: torproect[.]orgNavegador Tor con anti-captcha:tor-browser[.]orgGuarde el enlace
Todos los pastes de las cuatro cuentas diferentes fueron vistos más de 500.000 veces. Sin embargo, no es posible para nosotros determinar cuántos usuarios visitaron realmente los sitios web y descargaron la versión troyanizada del Navegador Tor.
Análisis
Este Navegador Tor troyanizado es una aplicación totalmente funcional. De hecho, se basa en la versión 7.5 del Navegador Tor que se lanzó en enero de 2018. Por lo tanto, las personas que no tienen conocimientos técnicos probablemente no notarán ninguna diferencia entre la versión original y la troyanizada.
No se hicieron cambios al código fuente del Navegador Tor; todos los binarios de Windows son exactamente los mismos que en la versión original. Sin embargo, estos ciberdelincuentes cambiaron la configuración predeterminada del navegador y algunas de las extensiones.
Los cibercriminales quieren evitar que las víctimas actualicen la versión troyanizada de Tor a una más nueva, porque en caso de hacerlo actualizará a una versión legítima; es decir, no troyanizada. Es por eso que deshabilitaron todo tipo de actualizaciones en la configuración e incluso cambiaron el nombre de la herramienta de actualización de Updater.exe a Updater.exe0.
Además de la modificación en la configuración de las actualizaciones, los cibercriminales cambiaron el User Agent predeterminado al valor hardcodeado único:
Mozilla/5.0 (Windows NT 6.1; rv:77777.0) Gecko/20100101 Firefox/52.0
Todas las víctimas del Navegador Tor troyanizado utilizarán el mismo User Agent; por lo tanto, los delincuentes pueden usarlo como fingerprint para detectar, del lado del servidor, si la víctima está utilizando esta versión troyanizada.
El cambio más importante es en la configuración de xpinstall.signatures.required, que deshabilita una comprobación de firma digital para los complementos instalados para el Navegador Tor. Por lo tanto, los atacantes pueden modificar cualquier complemento y el navegador lo cargará sin alertar acerca del fallo en la verificación de firma digital.
Además, los delincuentes modificaron el complemento HTTPS Everywhere incluido con el navegador, específicamente su archivo manifest.json. La modificación agrega un script de contenido (script.js) que se ejecutará en cada página web.
Este script inyectado notifica a un servidor de C&C sobre la dirección de la página web actual y descarga un payload en JavaScript que se ejecutará en el contexto de la página actual. El servidor de C&C está ubicado en un dominio onion, lo que significa que solo se puede acceder a través de Tor.
Mercados de la darknet
El único payload en JavaScript que hemos visto apunta a tres de los mayores mercados de la darknet de habla rusa. Este payload intenta alterar QIWI (un popular servicio ruso de transferencia de dinero) o billeteras de bitcoin ubicadas en páginas de estos mercados.
Una vez que una víctima visita su página de perfil para agregar fondos a la cuenta directamente mediante el pago con bitcoin, el Navegador Tor troyanizado intercambia automáticamente la dirección original a la dirección controlada por delincuentes.
Durante nuestra investigación identificamos tres billeteras de bitcoin que se han estado utilizando en esta campaña desde 2017. Cada billetera contiene un número relativamente grande de pequeñas transacciones; Esto sugiere que estas billeteras fueron realmente utilizadas por el Navegador Tor troyanizado.
Al momento de escribir este artículo, la cantidad total de fondos recibidos para las tres billeteras es 4.8 bitcoin, que corresponde a más de US $ 40,000. Cabe señalar que la cantidad real de dinero robado es mayor porque el navegador Tor troyanizado también altera las billeteras QIWI.
Conclusión
Este Navegador Tor troyanizado es una forma atípica de malware que fue diseñado para robar monedas digitales de aquellos que visitan mercados de la darknet. Los delincuentes no modificaron los componentes binarios del Navegador Tor; en su lugar, introdujeron cambios en la configuración y la extensión “HTTPS Everywhere”. Esto les ha permitido robar dinero digital, de manera inadvertida, y durante años.
Origen: Descubren Navegador Tor troyanizado utilizado para robar bitcoins en la darknet | WeLiveSecurity
