Navegador Tor troyanizado para robar bitcoins en la darknet

Hackers han utilizado una versión troyanizada de un paquete oficial de Navegador Tor para robar bitcoins en la deepweb o darknet, los cibercriminales han tenido bastante éxito; hasta el momento, su sitio pastebin.com contabiliza más de 500,000 visitas y el monto de lo hurtado haciende a más de US$40,000 en bitcoins.

Dominios maliciosos

Este nuevo Navegador apenas descubierto se ha estado propagando utilizando dos sitios web que afirman distribuir la versión oficial del navegador Tor en ruso. El primero de los sitios muestra al visitante un mensaje en ruso que dice que tiene un Navegador Tor obsoleto. El mensaje se muestra incluso si el visitante tiene la versión más actualizada del
Navegador Tor.

Traducido al español dice así:

¡Tu anonimato está en peligro!
ADVERTENCIA: Su navegador Tor no está actualizado
Haga clic en el botón “Actualizar”

Al hacer clic en el botón “Actualizar el Navegador Tor”, se dirige al usuario a un segundo sitio web con la posibilidad de descargar un archivo instalador de Windows. No hay indicios de que el mismo sitio web haya distribuido versiones para Linux, macOS o para móviles.

Ambos dominios, tor-browser.org y torproect.org, fueron creados en 2014. El dominio malicioso torproect.org es muy parecido al sitio original torproject.org; solo le falta la letra “J”. De hecho, para las víctimas de habla rusa, la letra que falta puede no levantar sospechas debido al hecho de que “torproect” parece una transliteración del cirílico. Sin embargo, no parece que los criminales se hayan basado en el typosquatting, porque promovieron estos dos sitios web en varios lugares.

Distribución

En 2017 y 2018, los ciberdelincuentes difundieron los sitios web del Navegador Tor troyanizado, utilizaban mensajes de spam en foros rusos. Los menajes contenían temas, incluyendo mercados de la darknet, criptomonedas, privacidad en Internet y evasión de censura. Específicamente, algunos de estos mensajes mencionan a Roskomnadzor, una entidad del gobierno ruso para la censura en medios y telecomunicaciones.

A principios del 2018, los ciberdelincuentes comenzaron a utilizar el sitio web pastebin.com para promocionar los dos dominios relacionados con el falso Navegador Tor. Concretamente los ciberdelicuentes crearon cuatro cuentas y generaron muchos textos optimizados para que los motores de búsqueda los clasifiquen en buenas posiciones para palabras que tocan temas como drogas, criptomonedas, omisión de censura y nombres de los políticos rusos.

La estrategia se basa en que una víctima realice una búsqueda en línea para palabras clave específicas y en algún momento terminará visitando uno de los textos generados. Cada uno de estos textos tiene un encabezado que promueve el sitio web falso.

Traducido al español diría así:

BRO, descarga Tor Browser para que la policía no pueda verte.

Los navegadores regulares muestran lo que está viendo, incluso a través de proxies y plugins de VPN.

Tor cifra todo el tráfico y lo pasa a través de servidores aleatorios de todo el mundo.

Es más confiable que una VPN o proxy y evita toda censura de Roskomnadzor.

Aquí está el sitio web oficial del Navegador Tor:

torproect.org

Navegador Tor con anti-captcha:

tor-browser.org

Guarde el enlace

Los criminales afirman que esta versión del Navegador Tor tiene capacidad anti-captcha, pero es totalmente falso.

Análisis

Este Navegador Tor troyanizado es una aplicación totalmente funcional. De hecho, se basa en la versión 7.5 del Navegador Tor que se lanzó en enero de 2018. Por lo tanto, las personas que no tienen conocimientos técnicos probablemente no notarán ninguna diferencia entre la versión original y la troyanizada.

El código fuente del navegados Tor está intacto Tor; todos los binarios de Windows son exactamente los mismos que en la versión original. Sin embargo, los ciberdelincuentes cambiaron la configuración predeterminada del navegador y algunas de las extensiones.

Los cibercriminales deshabilitaron la configuración para que el usuario pudiera actualizar la versión troyenizada, de esta forma aseguran continuar con su robo, incluso cambiaron el nombre de la herramienta de actualización de Updater.exe a Updater.exe0.

Mercados de la darknet

El único payload en JavaScript que se ha visto apunta a tres de los mayores mercados de la darknet de habla rusa. Este payload intenta alterar QIWI (un popular servicio ruso de transferencia de dinero) o billeteras de bitcoin ubicadas en páginas de estos mercados.

Una vez que una víctima visita su página de perfil para agregar fondos a la cuenta directamente mediante el pago con bitcoin, el Navegador Tor troyanizado intercambia automáticamente la dirección original a la dirección controlada por delincuentes.

Durante nuestra investigación identificamos tres billeteras de bitcoin que se han estado utilizando en esta campaña desde 2017. Cada billetera contiene un número relativamente grande de pequeñas transacciones; Esto sugiere que estas billeteras fueron realmente utilizadas por el Navegador Tor troyanizado.

Número de transacciones y de bitcoins recibidos para una de las billeteras de los delincuentes

Datos que pueden ser de tu interés

Dominios

  • torproect.org
  • tor-browser.org
  • onion4fh3ko2ncex.onion

Cuentas de pastebin

  • https://pastebin.com/u/antizapret
  • https://pastebin.com/u/roscomnadzor
  • https://pastebin.com/u/tor-browser-download
  • https://pastebin.com/u/alex-navalnii
  • https://pastebin.com/u/navalnii
  • https://pastebin.com/u/obhod-blokirovki

Direcciones de bitcoin

  • 3338V5E5DUetyfhTyCRPZLB5eASVdkEqQQ
  • 3CEtinamJCciqSEgSLNoPpywWjviihYqrw
  • 1FUPnTZNBmTJrSTvJFweJvUKxRVcaMG8oS

Fuente: Hispasec, Torproject, Hackwise


Aprende a programar de manera profesional en Azul School.

Los cursos que ves a continuación salen en enero, por el momento puedes disfrutar del curso de C++ y SQL. Te regalamos un cupón con una promoción sorpresa por pre-apertura (válido sólo para las primeras 10 personas): descuentoAW

Con la membresía tienes acceso a TODOS LOS CURSOS y a una Red Social de Programadores


Canal en Telegram de Azul Web

Te recomendamos seguirnos en nuestras redes para estar al tanto de noticias, cursos gratuitos y memes: Clic aquí para seguirnos en Facebook | Clic aquí para seguirnos en Instagram | Clic aquí para seguirnos en YouTube.

Descargar este artículo en PDF

Lo sentimos, esta opción solo está disponible para los socios. Más información de nuestro grupo de socios.

Ernesto Mota on EmailErnesto Mota on FacebookErnesto Mota on LinkedinErnesto Mota on Twitter
Ernesto Mota
Nací en el d.f., sigo siendo defeño, hoy radico en la hermosa ciudad de Cuernavaca, Morelos, soy Ing. en Sistemas computacionales, con un posgrado en Tecnologías de información, Doctorando en ambientes virtuales de aprendizaje y realidad aumentada, Tecnólogo es mi categoría laboral, y mi linea de investigación es la realidad aumentada aplicada a nuevos entornos de aprendizaje.

Déjanos un comentario:

Deja un comentario

LO MAS HOT DE AZUL WEB

Conoce esta red social de programadores, el lugar perfecto para aprender a programar.