Una investigación reciente ha descubierto al popular navegador Tor ser suplantado para ser utilizado como troyano, dirigido a compradores del mercado negro en la darkweb, los ciberdelincuentes tienen por objetivo robar criptomonedas y recopilar información sobre la actividad del navegador.
Las cifras y números de este ataque arrojan que han robado alrededor de $40.000 USD en Bitcoins, sumando un total de 860 transacciones registradas en tres las billeteras de los atacantes. Esta versión del navegador Tor fue promocionada en Pastebin como la versión rusa del popular software.
Cabe recalcar que esta versión maliciosa de Tor se encuentra alojada en los siguientes dos dominios creados en 2014 (tor-browser[.]org y torproect[.]org), diseñados para aparecer como la versión oficial rusa del software.
Los actores de amenazas también optimizaron las publicaciones que promocionan el software malicioso para que ésta apareciera dentro de los mejores resultados para consultas dirigidas a temas de drogas, evasión de censura y políticos rusos.
Entre 2017 y principios de 2018, los delincuentes promovieron páginas web del troyano utilizando mensajes de spam en múltiples foros rusos. La página de inicio de ambos sitios muestra una advertencia a los visitantes informándoles que tienen un navegador Tor obsoleto, incluso si los visitantes están utilizando la versión más actualizada.
Para entender el flujo, se modificó el protocolo HTTPS para incluir en el navegador un script de contenido (script.js) que se ejecuta en la carga de cada página web. Este payload de JavaScript utiliza un estándar webinject, mecanismo que permite robar contenido de formularios, ocultar contenido original, mostrar mensajes falsos o agregar incluso su propio contenido.
El único payload de JavaScript observado por los investigadores fue utilizado para dirigir a los visitantes hacia los 3 sitios más populares del mercado negro, y a su vez, este script intenta alterar QIWI (un popular servicio de transferencia de dinero ruso) o billeteras de bitcoins alojadas en páginas de estos mercados. Usando este truco, los atacantes pueden secuestrar los pagos cambiando la dirección de la billetera de los compradores.
REFERENCIA
COMENTARIOS