Navegador Tor trojanizado é usado para roubar bitcoins na darknet

Por Wellington Botelho

Um navegador malicioso distribuído por cibercriminosos é usado para roubar bitcoins de usuários que compram em mercados da darknet, de acordo com informações da ESET.

Usando uma versão trojanizada de um pacote oficial do Navegador Tor, os fraudadores por trás dessa campanha tiveram muito sucesso – até agora suas contas no pastebin.com tiveram mais de 500 mil visualizações e foram capazes de roubar mais de 40 mi dólares em bitcoins.

Domínios maliciosos

Segundo a página, este Navegador Tor trojanizado recentemente descoberto tem se propagado usando dois sites que afirmam que eles distribuem a versão oficial em russo do Navegador Tor. O primeiro desses sites exibe uma mensagem em russo alegando que o visitante tem um Navegador Tor desatualizado. A mensagem é exibida mesmo que o visitante tenha a versão mais atualizada do Navegador Tor.

Ao clicar no botão “Atualizar o Navegador Tor”, o visitante é redirecionado para um segundo site com a possibilidade de baixar um instalador do Windows. Não há sinais de que o mesmo site tenha distribuído versões para Linux, macOS ou para dispositivos móveis.

Ambos os domínios – tor-browser[.]org e torproect[.]org – foram criados em 2014. O domínio malicioso torproect[.]org é muito semelhante ao torproject.org real – falta apenas uma letra. Para as vítimas que falam russo, a letra que falta pode não levantar suspeitas devido ao fato de que “torproect” parece uma transliteração do cirílico. No entanto, não parece que os criminosos tenham confiado no typosquatting, porque eles promoveram esses dois sites em vários lugares.

Distribuição

Em 2017 e no início de 2018, os cibercriminosos promoveram as páginas web do Navegador Tor troianizado usando mensagens de spam em vários fóruns russos. Essas mensagens contêm vários tópicos, incluindo mercados da darknet, criptomoedas, privacidade na Internet e evasão de censura. Especificamente, algumas dessas mensagens mencionam a Roskomnadzor, uma entidade do governo russo para a censura na mídia e nas telecomunicações.

Em abril e março de 2018, os criminosos começaram a utilizar o serviço web pastebin.com para promover ambos os domínios relacionados ao Navegador Tor falso. Especificamente, eles criaram quatro contas e geraram muitos paste otimizados para que os mecanismos de busca os classifiquem como em excelentes posições para palavras que cobrem tópicos como drogas, criptomoedas, evasão de censura e nomes de políticos russos.

A ideia por trás disso é que uma potencial vítima realizaria uma pesquisa on-line por palavras-chave específicas e, em algum momento, visitaria um desses paste gerados. Cada paste tem um cabeçalho que promove o site falso.

Os cibercriminosos afirmam que esta versão do Navegador Tor tem capacidade anti-captcha, mas isso não é verdade.

Todos os pastes das quatro contas diferentes foram vistos mais de 500 mil vezes. No entanto, não é possível dizer quantos visitantes realmente visitaram os sites e baixaram a versão trojanizada do Navegador Tor.

bitcoins - Darknet Pixabay

Análise

Este Navegador Tor trojanizado é uma aplicação totalmente funcional. Na verdade, ele é baseado na versão 7.5 do Navegador Tor, que foi lançada em janeiro de 2018. Portanto, pessoas sem conhecimento técnico provavelmente não notarão nenhuma diferença entre a versão original e a trojanizada.

Nenhuma alteração foi feita no código fonte do Navegador Tor – todos os binários do Windows são exatamente os mesmos da versão original. No entanto, esses criminosos alteraram as configurações padrão do navegador e algumas das extensões.

Os cibercriminosos querem evitar que as vítimas atualizem a versão trojanizada do Tor para uma versão mais recente, porque nesse caso ela será atualizada para uma versão legítima e não trojanizada. É por isso que eles desativam todos os tipos de atualizações nas configurações, e até mesmo alteram a ferramenta de atualização de updater.exe para updater.exe0.

Segundo o site, este Navegador Tor trojanizado é uma forma atípica de malware, projetado para roubar moedas digitais dos usuários que visitam mercados da darknet.

Os criminosos não modificaram os componentes binários do Navegador Tor – em vez disso, eles introduziram alterações nas configurações e na extensão “HTTPS Everywhere”. Isso permitiu que eles roubassem dinheiro digital, sem serem notados, por anos.

Com informações da ESET

LEIA TAMBÉM:

Conteúdo Patrocinado
Loading...
Revisa el siguiente artículo