• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Troyano en Tor Browser: compradores en la Darknet ven cómo sus bitcoins son robados

Troyano en Tor Browser: compradores en la Darknet ven cómo sus bitcoins son robados

20 octubre, 2019 Por Raquel Deja un comentario

Mediante el uso de una versión de Tor Browser infectada por un troyano, los cibercriminales detrás de esta campaña han tenido bastante éxito – hasta el momento sus cuentas de pastebin.com han tenido más de 500.000 visitas y han podido robar más de US$40.000 en bitcoins.

Fuente de la imagen: EasyForma

DOMINIOS MALICIOSOS

Esta versión de Tor Browser infectada por un troyano y descubierta recientemente ha llegado a los usuarios a través de dos sitios web que afirmaban ser los distribuidores de la versión oficial en ruso de este navegador. El primer sitio web muestra un mensaje en ruso indicándole al usuario que éste tiene una versión no actualizada de Tor. El mensaje aparece incluso si el usuario tiene la versión más reciente del navegador.

Mensaje falso de navegador Tor no actualizado en torproect[.]org
Fuente de la imagen: We Live Security by ESET

La traducción del contenido de la imagen es la siguiente:

¡Tu anonimato está en peligro!
ADVERTENCIA: tu navegador Tor no está actualizado
Haz clic en el botón «Actualizar»

Al hacer clic en el botón «Actualizar Tor Browser», el usuario es redirigido a una segunda página web donde puede descargar el instalador para Windows. No hay indicios de que dicha página web haya distribuido el troyano para sistemas operativos como Linux, macOS o versiones móviles.

Página web de descarga falsa de Tor
Fuente de la imagen: We Live Security by ESET

Ambos dominios – tor-browser[.]org y torproect[.]org – fueron creados en 2014. El segundo de estos dominios es muy similar al sitio web oficial (torproject.org), solo que simplemente le falta una letra. Para los usuarios rusos, el hecho de que falte una letra en el dominio puede no levantar sospechas debido a que «torproect» suena muy parecido a la transliteración del alfabeto cirílico. Sin embargo, no ha sido un error ortográfico aquello en lo que los atacantes se han apoyado, ya que promocionaron ambos sitios web en varias fuentes.

DISTRIBUCIÓN

En 2017 y a principios de 2018 los atacantes distribuyeron los sitios web que contienen la versión de Tor infectada por el troyano a través de mensajes de spam en varios foros rusos. Estos mensajes son de contenido variado, incluyendo mercados de la darknet, criptomonedas, y métodos para saltarse la censura y privacidad en Internet. Específicamente, algunos de estos mensajes mencionan a Roskomnadzor, una entidad gubernamental rusa dedicada a la censura de los medios de comunicación.

En abril y marzo de 2018, los criminales comenzaron a usar pastebin.com para promocionar los dominios relacionados con la página falsa que distribuye la versión infectada de Tor. En concreto, crearon cuatro cuentas y publicaron una gran cantidad de pastes que fueron optimizados para que se situaran entre los primeros puestos de los motores de búsqueda de Internet, de manera que fueran encontrados más rápidamente por usuarios que realizaban búsquedas relacionadas con drogas, criptomonedas, cómo saltarse los métodos de censura, y nombres de políticos rusos.

La idea detrás de esto es que una víctima potencial realice una búsqueda de palabras específicas y en algún punto visite uno de los pastes generados. Cada uno de estos pastes tiene una cabecera que hace promoción del sitio web falso.

Cabecera de uno de los pastes que promociona los sitios falsos de Tor Browser
Fuente de la imagen: We Live Security by ESET

La traducción de esta última imagen es la siguiente:

BRO, descarga el navegador Tor para que los policías no te vigilen. Los navegadores normales muestran lo que estás viendo, incluso cuando usas proxies y plug-ins VPN. Tor cifra todo el tráfico y lo pasa a través de servidores aleatorios alrededor del mundo. Es más confiable que una VPN o un proxy, y evita todo tipo de censura por parte de Roskomnadzor. Este es el sitio oficial del navegador Tor:

torproject[.]org
Tor Browser con anticaptcha:
tor-browser[.]org
Guarda el enlace

Los criminales alegan que esta versión de Tor Browser tiene capacidad anticaptcha, lo cual no es cierto.

Todos los pastes de las cuatro cuentas fueron visualizados más de 500.000 veces. Sin embargo, no es posible decir cuántas personas visitaron los sitios web y descargaron la versión de Tor Browser afectada por el troyano.

ANÁLISIS

Esta versión infectada de Tor es totalmente funcional. De hecho, está basada en la versión 7.5 de Tor Browser, lanzada en enero de 2018. Así pues, usuarios no muy técnicos no notarán ninguna diferencia entre la versión original y la infectada.

No se le hicieron cambios al código original de Tor Browser; todos los archivos binarios de Windows son exactamente los mismos que los de la versión original. No obstante, los criminales cambiaron la configuración por defecto del navegador y algunas de sus extensiones.

Configuración modificada de la versión infectada de Tor Browser (extension-overrides.js)
Fuente de la imagen: We Live Security by ESET

Los criminales quieren evitar que las víctimas actualicen la versión infectada de Tor, porque de hacerlo, la versión a la que se actualice el navegador no estará infectada y será legítima. Por ello deshabilitaron todo tipo de actualizaciones en la configuración, e incluso renombraron la herramienta de actualización cambiando el nombre «updater.exe» a «updater.exe0».

Además del cambio realizado a la configuración de las actualizaciones, los criminales cambiaron el User-Agent por defecto a un valor único estándar:

Mozilla/5.0 (Windows NT 6.1; rv:77777.0) Gecko/20100101 Firefox/52.0

Todas las víctimas que hacen uso de la versión infectada de Tor tienen el mismo User-Agent, y ésto puede ser usado como huella por los criminales para detectar en el lado del servidor si la víctima está utilizando la versión infectada de Tor.

El cambio más importante se ha realizado en la configuración de «xpinstall.signatures.required», que deshabilita la comprobación de la firma digital para los add-ons instalados de Tor. Por lo tanto, los atacantes pueden modificar cualquier add-on y éstos serán cargados por el navegador sin ningún problema a pesar de no comprobar previamente la firma digital.

Además, los criminales modificaron el add-on «HTTPS Everywhere» incluido en el navegador, específicamente el archivo «manifest.json». El cambio añade un script de contenido (script.js) que será ejecutado al cargar cualquier página web.

Diferencia entre el manifest.json orignal (izquierda) y el modificado (derecha)
Fuente de la imagen: We Live Security by ESET

Este nuevo script informa al servidor C&C sobre la dirección de la página web que está siendo visitada y descarga un payload de JavaScript que será ejecutado en la página actual. El servidor C&C se encuentra en un dominio .onion, lo que quiere decir que se puede acceder a él solo a través de Tor.

Ya que los criminales son capaces de saber qué página web está siendo visitada por la víctima, también podrían ejecutar distintos payloads de JavaScript para las diferentes páginas web. Sin embargo, en este caso el payload es el mismo para todos los sitios web.

El payload de JavaScript funciona como una inyección web estándar, lo que significa que puede interactuar con el contenido de las páginas web y llevar a cabo diferentes acciones. Por ejemplo, puede recolectar formularios e información, esconder o inyectar contenido de una página web visitada, mostrar mensajes falsos, etc.

No obstante, cabe señalar que la desanonimización de la víctima es una tarea difícil ya que el payload de JavaScript se ejecuta en el contexto del navegador Tor y no tiene acceso a la IP real u otras características físicas del equipo de la víctima.

MERCADOS DE LA DARKNET

El único payload de JavaScript detectado durante la investigación tiene como objetivo tres de los markets rusos en la darknet más importantes. Este payload se centra en QIWI (un servicio popular de transferencia ruso) y carteras de bitcoin localizadas en las páginas de estos mercados.

Parte del payload de JavaScript diseñado para cambiar las carteras de criptomonedas
Fuente de la imagen: We Live Security by ESET

Una vez la víctima visita su perfil en la página para añadir fondos a su cuenta usando directamente el pago por bitcoins, el navegador infectado de Tor automáticamente cambia la dirección original por la que es controlada por los criminales.

Durante la investigación se identificaron tres carteras de bitcoin que han sido usadas en esta campaña desde el año 2017. Cada una de estas carteras contiene un número relativamente grande de transacciones pequeñas, lo cual sugiere que estas carteras han sido utilizadas por la versión infectada de Tor.

En el momento en que el artículo en el que se basa esta publicación fue escrito, la cantidad total de fondos recibidos por las tres carteras era de 4.8 bitcoins, lo que equivale a más de US$40.000. No obstante, la cantidad real de dinero robado es mayor, ya que la versión infectada de Tor también afecta a las carteras QIWI, como se ha mencionado con anterioridad.

CONCLUSIÓN

La versión infectada de Tor es un malware atípico, diseñado para robar criptomonedas a aquellas personas que visitan mercados en la darknet. Los criminales no modificaron los componentes binarios de Tor Browser; en su lugar, introdujeron cambios en la configuración y la extensión HTTPS Everywhere. Esto les ha permitido robar criptomonedas sin ser detectados durante años.

IOCs

ESET detection names:

  • JS/Agent.OBW
  • JS/Agent.OBX

SHA-1: 33E50586481D2CC9A5C7FB1AC6842E3282A99E08

Dominios:

  • torproect[.]org
  • tor-browser[.]org
  • onion4fh3ko2ncex[.]onion

Cuentas de Pastebin:

  • https://pastebin[.]com/u/antizapret
  • https://pastebin[.]com/u/roscomnadzor
  • https://pastebin[.]com/u/tor-browser-download
  • https://pastebin[.]com/u/alex-navalnii
  • https://pastebin[.]com/u/navalnii
  • https://pastebin[.]com/u/obhod-blokirovki

Direcciones de Bitcoin:

  • 3338V5E5DUetyfhTyCRPZLB5eASVdkEqQQ
  • 3CEtinamJCciqSEgSLNoPpywWjviihYqrw
  • 1FUPnTZNBmTJrSTvJFweJvUKxRVcaMG8oS

Técnicas de ATT&CK MITRE

Ejecución: el navegador de Tor infectado se apoya en la víctima para ejecutar la infiltración inicial.
Persistencia: el navegador de Tor infectado contiene una extensión HTTPS Everywhere modificada.
Recolección: el navegador de Tor infectado es capaz de cambiar el contenido, modificar el comportamiento, e interceptar información usando técnicas «man-in-the-browser».
Comando y Control (C&C): el navegador de Tor infectado usa el servicio onion de Tor para descargar el payload de JavaScript,
Impacto: el navegador de Tor infectado cambia carteras de bitcoin y QIWI en mercados de la darknet.

Referencias:

Fleecing the onion: Darknet shoppers swindled out of bitcoins via trojanized Tor Browser

Acerca de Raquel

Raquel Gálvez Ha escrito 67 publicaciones.

Pentester. Cloud security specialist on the making.

  • View all posts by Raquel →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: General, Malware Etiquetado como: bitcoin, Criptomonedas, IOC, Navegador Tor, onion, Tor Browser, troyano

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Técnica permite modificar ficheros PDF con firma digital
  • Evasión de CloudTrail en AWS a través de API no documentada

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR
 

Cargando comentarios...