Roban 40.000 dólares con una versión troyanizada de Tor Browser

Una cantidad indeterminada de usuarios compradores en la darknet, principalmente de Rusia y rusoparlantes, han visto cómo su fortuna en bitcoins o el dinero que tenía en carteras QIWI (servicio de transferencia popular en Rusia) ha desparecido tras instalar una versión troyanizada de Tor Browser, el navegador multiplataforma que permite acceder de forma fácil la red Tor.

Los expertos en seguridad de ESET, descubridores de esta versión troyanizada de Tor Browser, estiman que los ciberdelincuentes detrás de la campaña han podido robar un total de 40.000 dólares (4,8 bitcoins), además de comprobar que sus cuentas en pastebin.com ha tenido más de 500.000 de visitas. Los números suenan cortos, pero esto tiene una explicación.

El Tor Browser troyanizado ha sido distribuido a través de dos dominios maliciosos, tor-browser[.]org y torproect[.]org, que intentaban hacerse pasar por los oficiales y fueron creados en 2014. La cuestión es que las webs tras esos dominios solo estaban en ruso y se encargaban de suministrar solo la versión para Windows del Tor Browser troyanizado (no se han detectado versiones para Mac, Linux y Android), lo que reducía la posibilidad de infectar a usuarios de todo el planeta.

Si la víctima visitaba uno de los dominios maliciosos, verá en la página web desplegada un falso aviso de que necesita actualizar el navegador, con un botón que redirige a otra web que suministra la versión troyanizada de la aplicación para Windows. El aviso de los dominios maliciosos aparece incluso utilizando la última versión de Tor Browser, porque obviamente la intención de los actores maliciosos no es poner a disposición la versión más reciente de la aplicación, sino infectar a la víctima para robarle los bitcoins o el dinero almacenado en su cartera QIWI.

Pese a que los dominios fueron creados en 2014, no fue hasta 2018 cuando los actores maliciosos empezaron a distribuir la versión troyanizada de Tor Browser. Para darle difusión, en algunos mensajes mencionaron al Roskomnadzor, el organismo censor del gobierno ruso, creando para ello cuatro cuentas en pastebin.com para promocionar los dominios, recurriendo para ello a términos clave que apareciesen en los primeros puestos en los resultados de las búsquedas.

La versión troyanizada del navegador distribuida por los actores maliciosos no estaba ni mucho menos al día, sino que se basaba en la 7.5, lanzada en enero de 2018. Esto hace que, además de estar infectado, se esté usando una versión de Tor que posiblemente no ofrezca toda la privacidad necesaria. A lo mencionado hasta aquí se suma el hecho de que utilizaba un valor User-Agent único y estándar con el fin de hacerlo más fácil de detectar por parte de los ciberdelincuentes, además que el nombre de la herramienta de actualización estaba cambiado de “updater.exe” a “updater.exe0” para evitar que una actualización acabase borrando el malware.

Para el proceso de robo se incluía en la versión troyanizada de Tor Browser cambios en la configuración y en la extensión HTTPS Everywhere que permitían comunicarse con un servidor de mando y control (C&C) encontrado bajo un dominio .onion, el cual se encargaba de saber las páginas web visitadas por las víctimas e incluso permitía a los actores maliciosos soltar una carga en JavaScript para dichas webs, con el que podían recolectar datos de formularios y esconder e inyectar contenidos. Pese a que la campaña no tiene aparentemente la intención de ser masiva, tiene cierto mérito al necesitar de tareas de deanonimización de la red Tor.

Viendo todo lo que rodea a esta campaña y que se dirigía contras unas personas muy específicas, parece difícil que un hispanoparlante o un angloparlante acabe siendo víctima. Pese a ello, recomendamos encarecidamente siempre asegurarse descargar el software de un sitio oficial o verdaderamente confiable y evitar los de terceros que pueden acabar suministrando versiones troyanizadas de las aplicaciones.