Hackers han utilizado una versión troyanizada de un paquete oficial de Navegador Tor para robar bitcoins en la deepweb o darknet, los cibercriminales han tenido bastante éxito; hasta el momento, su sitio pastebin.com contabiliza más de 500,000 visitas y el monto de lo hurtado haciende a más de US$40,000 en bitcoins.
Dominios maliciosos
Este nuevo Navegador apenas descubierto se ha estado propagando utilizando dos sitios web que afirman distribuir la versión oficial del navegador Tor en ruso. El primero de los sitios muestra al visitante un mensaje en ruso que dice que tiene un Navegador Tor obsoleto. El mensaje se muestra incluso si el visitante tiene la versión más actualizada del
Navegador Tor.
Traducido al español dice así:
¡Tu anonimato está en peligro!
ADVERTENCIA: Su navegador Tor no está actualizado
Haga clic en el botón “Actualizar”
Al hacer clic en el botón “Actualizar el Navegador Tor”, se dirige al usuario a un segundo sitio web con la posibilidad de descargar un archivo instalador de Windows. No hay indicios de que el mismo sitio web haya distribuido versiones para Linux, macOS o para móviles.
Ambos dominios, tor-browser.org y torproect.org, fueron creados en 2014. El dominio malicioso torproect.org es muy parecido al sitio original torproject.org; solo le falta la letra “J”. De hecho, para las víctimas de habla rusa, la letra que falta puede no levantar sospechas debido al hecho de que “torproect” parece una transliteración del cirílico. Sin embargo, no parece que los criminales se hayan basado en el typosquatting, porque promovieron estos dos sitios web en varios lugares.
Distribución
En 2017 y 2018, los ciberdelincuentes difundieron los sitios web del Navegador Tor troyanizado, utilizaban mensajes de spam en foros rusos. Los menajes contenían temas, incluyendo mercados de la darknet, criptomonedas, privacidad en Internet y evasión de censura. Específicamente, algunos de estos mensajes mencionan a Roskomnadzor, una entidad del gobierno ruso para la censura en medios y telecomunicaciones.
A principios del 2018, los ciberdelincuentes comenzaron a utilizar el sitio web pastebin.com para promocionar los dos dominios relacionados con el falso Navegador Tor. Concretamente los ciberdelicuentes crearon cuatro cuentas y generaron muchos textos optimizados para que los motores de búsqueda los clasifiquen en buenas posiciones para palabras que tocan temas como drogas, criptomonedas, omisión de censura y nombres de los políticos rusos.
La estrategia se basa en que una víctima realice una búsqueda en línea para palabras clave específicas y en algún momento terminará visitando uno de los textos generados. Cada uno de estos textos tiene un encabezado que promueve el sitio web falso.
Traducido al español diría así:
BRO, descarga Tor Browser para que la policía no pueda verte.
Los navegadores regulares muestran lo que está viendo, incluso a través de proxies y plugins de VPN.
Tor cifra todo el tráfico y lo pasa a través de servidores aleatorios de todo el mundo.
Es más confiable que una VPN o proxy y evita toda censura de Roskomnadzor.
Aquí está el sitio web oficial del Navegador Tor:
torproect.org
Navegador Tor con anti-captcha:
tor-browser.org
Guarde el enlace
Los criminales afirman que esta versión del Navegador Tor tiene capacidad anti-captcha, pero es totalmente falso.
Análisis
Este Navegador Tor troyanizado es una aplicación totalmente funcional. De hecho, se basa en la versión 7.5 del Navegador Tor que se lanzó en enero de 2018. Por lo tanto, las personas que no tienen conocimientos técnicos probablemente no notarán ninguna diferencia entre la versión original y la troyanizada.
El código fuente del navegados Tor está intacto Tor; todos los binarios de Windows son exactamente los mismos que en la versión original. Sin embargo, los ciberdelincuentes cambiaron la configuración predeterminada del navegador y algunas de las extensiones.
Los cibercriminales deshabilitaron la configuración para que el usuario pudiera actualizar la versión troyenizada, de esta forma aseguran continuar con su robo, incluso cambiaron el nombre de la herramienta de actualización de Updater.exe a Updater.exe0.
Mercados de la darknet
El único payload en JavaScript que se ha visto apunta a tres de los mayores mercados de la darknet de habla rusa. Este payload intenta alterar QIWI (un popular servicio ruso de transferencia de dinero) o billeteras de bitcoin ubicadas en páginas de estos mercados.
Una vez que una víctima visita su página de perfil para agregar fondos a la cuenta directamente mediante el pago con bitcoin, el Navegador Tor troyanizado intercambia automáticamente la dirección original a la dirección controlada por delincuentes.
Durante nuestra investigación identificamos tres billeteras de bitcoin que se han estado utilizando en esta campaña desde 2017. Cada billetera contiene un número relativamente grande de pequeñas transacciones; Esto sugiere que estas billeteras fueron realmente utilizadas por el Navegador Tor troyanizado.
Datos que pueden ser de tu interés
Dominios
- torproect.org
- tor-browser.org
- onion4fh3ko2ncex.onion
Cuentas de pastebin
- https://pastebin.com/u/antizapret
- https://pastebin.com/u/roscomnadzor
- https://pastebin.com/u/tor-browser-download
- https://pastebin.com/u/alex-navalnii
- https://pastebin.com/u/navalnii
- https://pastebin.com/u/obhod-blokirovki
Direcciones de bitcoin
- 3338V5E5DUetyfhTyCRPZLB5eASVdkEqQQ
- 3CEtinamJCciqSEgSLNoPpywWjviihYqrw
- 1FUPnTZNBmTJrSTvJFweJvUKxRVcaMG8oS
Fuente: Hispasec, Torproject, Hackwise