• Inicio
  • Ayuda
  • TV
  • Buscar…

Navegador Tor infectado roba criptomonedas de sus víctimas



octubre 22, 2019

Utilizando una versión troyanizada de un Navegador Tor, los cibercriminales responsables de esta campaña han tenido bastante éxito. Hasta ahora, sus cuentas de pastebin.com han tenido más de 500 mil visitas y fueron capaces de robar más de 40.000 US$ en bitcoins. Este Navegador Tor troyanizado se ha estado propagando utilizando dos sitios web que afirman distribuir la versión oficial del navegador Tor en ruso. El primero de los sitios muestra al visitante un mensaje en ruso que dice que tiene un Navegador Tor obsoleto. El mensaje se muestra incluso si el visitante tiene la versión más actualizada del Navegador Tor.

Navegador Tor
Navegador Tor infectado roba criptomonedas de sus víctimas
Imagen por Alexander Geiger vía Shutterstock

El Falso mensaje que se muestra en el sitio torproect[.]org indicando que el navegador está desactualizado, traducido al español: ¡Tu anonimato está en peligro! ADVERTENCIA: Su navegador Tor no está actualizado Haga clic en el botón “Actualizar”. Al hacer clic en el botón “Actualizar el Navegador Tor”, el visitante es redirigido a un segundo sitio web con la posibilidad de descargar un instalador de Windows. No hay indicios de que el mismo sitio web haya distribuido versiones para Linux, macOS o para móviles. Ambos dominios, tor-browser[.]org y torproect[.]org, fueron creados en 2014. El dominio malicioso torproect[.]org es muy similar al sitio legítimo torproject.org; solo le falta una letra. De hecho, para las víctimas de habla rusa, la letra que falta puede no levantar sospechas debido al hecho de que “torproect” parece una transliteración del cirílico.

Distribución

En 2017 y a principios de 2018, los ciberdelincuentes promocionaron las páginas web del Navegador Tor troyanizado utilizando mensajes de spam en varios foros rusos. Dichos mensajes contenían varios tópicos, incluyendo mercados de la darknet, criptomonedas, privacidad en Internet y evasión de censura. Específicamente, algunos de estos mensajes mencionan a Roskomnadzor, una entidad del gobierno ruso para la censura en medios y telecomunicaciones.

Entre marzo y abril de 2018, los delincuentes comenzaron a utilizar el servicio web pastebin.com para promover los dos dominios relacionados con el falso Navegador Tor. Específicamente, crearon cuatro cuentas y generaron muchos pastes optimizados para que los motores de búsqueda los clasifiquen en buenas posiciones para palabras que tocan temas como drogas, criptomonedas, omisión de censura y nombres de los políticos rusos.

La lógica sobre la que se apoya esta estrategia es que una potencial víctima realizará una búsqueda en línea para palabras clave específicas y en algún momento terminará visitando uno de los pastes generados. Cada uno de estos paste tiene un encabezado que promueve el sitio web falso.

Esto se traduce al inglés:

BRO, descarga Tor Browser para que la policía no pueda verte. Los navegadores regulares muestran lo que está viendo, incluso a través de proxies y plugins de VPN. Tor cifra todo el tráfico y lo pasa a través de servidores aleatorios de todo el mundo. Es más confiable que una VPN o proxy y evita toda censura de Roskomnadzor. Aquí está el sitio web oficial del Navegador Tor: torproect[.]orgNavegador Tor con anti-captcha:tor-browser[.]orgGuarde el enlace

Todos los pastes de las cuatro cuentas diferentes fueron vistos más de 500.000 veces. Sin embargo, no es posible para nosotros determinar cuántos usuarios visitaron realmente los sitios web y descargaron la versión troyanizada del Navegador Tor.

Análisis

Este Navegador Tor troyanizado es una aplicación totalmente funcional. De hecho, se basa en la versión 7.5 del Navegador Tor que se lanzó en enero de 2018. Por lo tanto, las personas que no tienen conocimientos técnicos probablemente no notarán ninguna diferencia entre la versión original y la troyanizada.

No se hicieron cambios al código fuente del Navegador Tor; todos los binarios de Windows son exactamente los mismos que en la versión original. Sin embargo, estos ciberdelincuentes cambiaron la configuración predeterminada del navegador y algunas de las extensiones.

Los cibercriminales quieren evitar que las víctimas actualicen la versión troyanizada de Tor a una más nueva, porque en caso de hacerlo actualizará a una versión legítima; es decir, no troyanizada. Es por eso que deshabilitaron todo tipo de actualizaciones en la configuración e incluso cambiaron el nombre de la herramienta de actualización de Updater.exe a Updater.exe0.

Además de la modificación en la configuración de las actualizaciones, los cibercriminales cambiaron el User Agent predeterminado al valor hardcodeado único:

Mozilla/5.0 (Windows NT 6.1; rv:77777.0) Gecko/20100101 Firefox/52.0

Todas las víctimas del Navegador Tor troyanizado utilizarán el mismo User Agent; por lo tanto, los delincuentes pueden usarlo como fingerprint para detectar, del lado del servidor, si la víctima está utilizando esta versión troyanizada.

El cambio más importante es en la configuración de xpinstall.signatures.required, que deshabilita una comprobación de firma digital para los complementos instalados para el Navegador Tor. Por lo tanto, los atacantes pueden modificar cualquier complemento y el navegador lo cargará sin alertar acerca del fallo en la verificación de firma digital.

Además, los delincuentes modificaron el complemento HTTPS Everywhere incluido con el navegador, específicamente su archivo manifest.json. La modificación agrega un script de contenido (script.js) que se ejecutará en cada página web.

Este script inyectado notifica a un servidor de C&C sobre la dirección de la página web actual y descarga un payload en JavaScript que se ejecutará en el contexto de la página actual. El servidor de C&C está ubicado en un dominio onion, lo que significa que solo se puede acceder a través de Tor.

Mercados de la darknet

El único payload en JavaScript que hemos visto apunta a tres de los mayores mercados de la darknet de habla rusa. Este payload intenta alterar QIWI (un popular servicio ruso de transferencia de dinero) o billeteras de bitcoin ubicadas en páginas de estos mercados.

Una vez que una víctima visita su página de perfil para agregar fondos a la cuenta directamente mediante el pago con bitcoin, el Navegador Tor troyanizado intercambia automáticamente la dirección original a la dirección controlada por delincuentes.

Durante nuestra investigación identificamos tres billeteras de bitcoin que se han estado utilizando en esta campaña desde 2017. Cada billetera contiene un número relativamente grande de pequeñas transacciones; Esto sugiere que estas billeteras fueron realmente utilizadas por el Navegador Tor troyanizado.

Al momento de escribir este artículo, la cantidad total de fondos recibidos para las tres billeteras es 4.8 bitcoin, que corresponde a más de US $ 40,000. Cabe señalar que la cantidad real de dinero robado es mayor porque el navegador Tor troyanizado también altera las billeteras QIWI.

Conclusión

Este Navegador Tor troyanizado es una forma atípica de malware que fue diseñado para robar monedas digitales de aquellos que visitan mercados de la darknet. Los delincuentes no modificaron los componentes binarios del Navegador Tor; en su lugar, introdujeron cambios en la configuración y la extensión “HTTPS Everywhere”. Esto les ha permitido robar dinero digital, de manera inadvertida, y durante años.

Origen: Descubren Navegador Tor troyanizado utilizado para robar bitcoins en la darknet | WeLiveSecurity


[+] Videos de nuestro canal de YouTube
Alerta de seguridad, Tecnología    ciberdelincuentes, criptomoneda, ESET, TOR
← Deepfake: Amazon se une a Facebook y Microsoft para combatirlo
Grupos de WhatsApp no podrán incluirte sin tu autorización →

No se han encontrado comentarios

¿Y tú qué opinas? Cancelar respuesta











[+] Popular

Amazon android Android 10 apple asus CES CES 2018 coronavirus criptomoneda criptomonedas digitel Donald Trump ESET facebook filtraciones Filtración gmail google google play HP Huawei IA Instagram Intel ipad iphone Kaspersky Lab Lenovo LG Microsoft Motorola NASA Netflix nokia ransomware samsung Samsung Galaxy Skype sony twitter VPN WhatsApp Windows 10 Xiaomi youtube

[+] Para buscar

Síguenos

  • YouTube
  • Twitter
  • Facebook
  • Instagram
  • Feed RSS
  • Pinterest
  • LinkedIn

[+] Menú

  • Inicio
  • Apps
    • WhatsApp
    • Android
    • iOS
    • Windows
    • MacOS
  • Alerta
    • Seguridad
  • +Info
    • Nuevo
      • Smartphone
      • PC
      • TV
    • Favoritos
    • Ayuda
      • Test de velocidad GRATIS
    • Juegos
      • Móvil
      • Xbox
      • PS
      • Nintendo
    • Me gusta
      • Autos
      • Cine
      • Música
      • Turismo
    • Horarios
    • Video
      • AltaDensidad.TV
    • Prensa
    • Contacto
    • Publicidad
    • Grupo WhatsApp
    • Youtube
    • Twitter
    • Instagram
    • Facebook
    • RSS
    • Audio
      • Podcast
      • iVoox
      • Apple Podcasts
      • Spotify
    • Política de privacidad
  • e-Boletín: GRATIS
  • Buscar…

[+] Noticias Populares

  • “Suspensión de cuenta”: Alerta de phishing vía SMS a clientes BBVA España
  • Xiaomi lanza la primera beta abierta de MIUI 12.5 con soporte para 28 dispositivos
  • Actualización para WhatsApp Web permite elegir stickers desde la PC y...
  • Microsoft aumenta límite para carga de archivos en OneDrive, Teams y SharePoint
  • Desire 21 Pro: primer celular 5G de HTC con pantalla de 90 Hz y 4 cámaras traseras
  • Samsung Galaxy S21, S21 Plus y S21 Ultra: precios y ficha técnica
  • Signal fue descargada por 17,8 millones de usuarios durante los últimos siete días
  • ¡Qué nadie te robe internet! Aprende a configurar tu red de forma segura paso a paso
  • Xiaomi entra en la lista negra de empresas que no pueden recibir inversiones estadounidenses
  • Cómo vigilar el Instagram de alguien sin contraseña

[+] Recientes

  • Renovadas portátiles Huawei MateBook
  • WhatsApp: la adopción de las nuevas reglas se pospone 3 meses
  • Amazon anuncia servicio que permite a las empresas personalizar Alexa
  • ¡Qué nadie te robe internet! Aprende a configurar tu red de forma segura paso a paso
  • Actualización para WhatsApp Web permite elegir stickers desde la PC y…
  • Microsoft aumenta límite para carga de archivos en OneDrive, Teams y SharePoint
  • Xiaomi lanza la primera beta abierta de MIUI 12.5 con soporte para 28 dispositivos
  • Xiaomi entra en la lista negra de empresas que no pueden recibir inversiones estadounidenses
  • “Suspensión de cuenta”: Alerta de phishing vía SMS a clientes BBVA España
  • Desire 21 Pro: primer celular 5G de HTC con pantalla de 90 Hz y 4 cámaras traseras
Privacidad y cookies: este sitio utiliza cookies. Al continuar utilizando esta web, aceptas su uso.
Para obtener más información, incluido cómo controlar las cookies, consulta aquí: Política de cookies
Alta Densidad® y Disco Duro® son producciones de Carlos José Monzón ©1999-2021

EvoLve theme by Theme4Press  •  Powered by WordPress Alta Densidad
Tecnología inteligente @discoduro