Fleecing the onion: los compradores de Darknet escaparon de bitcoins a través del navegador Tor troyanizado

Utilizando una versión troyanada de un paquete oficial de Navegador Tor, los ciberdelincuentes detrás de esta campaña han tenido mucho éxito; hasta ahora, sus cuentas de pastebin.com han tenido más de 500,000 visitas y han podido robar más de $ 40,000 en bitcoins.

Dominios maliciosos

Este navegador Tor troyanizado recientemente descubierto se ha extendido utilizando dos sitios web que afirman que distribuyen la versión oficial en ruso del navegador Tor. El primer sitio web de este tipo muestra un mensaje en ruso que dice que el visitante tiene un navegador Tor obsoleto. El mensaje se muestra incluso si el visitante tiene la versión más actualizada del navegador Tor.

Figura 1. Mensaje falso del navegador desactualizado que se muestra en torproect (.) Org

Traducido al inglés:

¡Tu anonimato está en peligro!
ADVERTENCIA: tu navegador Tor no está actualizado
Haga clic en el botón "Actualizar"

Al hacer clic en el botón "Actualizar el navegador Tor", el visitante es redirigido a un segundo sitio web con la posibilidad de descargar un instalador de Windows. No hay indicios de que el mismo sitio web haya distribuido Linux, macOS o versiones móviles.

Figura 2. Sitio web falso del navegador Tor con opción de descarga

Ambos dominios – tor-browser (.) Org y torproect (.) Org – fueron creados en 2014. El dominio malicioso torproect (.) Org es muy similar al torproject.org real; solo le falta una letra. Para las víctimas de habla rusa, la carta que falta puede no levantar sospechas debido al hecho de que "torproect" parece una transcripción del cirílico. Sin embargo, no parece que los delincuentes confiaran en la tipificación tipográfica, porque promovieron estos dos sitios web en varios recursos.

Distribución

En 2017 y principios de 2018, los ciberdelincuentes promocionaron las páginas web del navegador Tor troyanizado utilizando mensajes de spam en varios foros rusos. Estos mensajes contienen varios temas, incluidos los mercados darknet, las criptomonedas, la privacidad en Internet y el desvío de la censura. Específicamente, algunos de estos mensajes mencionan Roskomnadzor, una entidad del gobierno ruso para la censura en medios y telecomunicaciones.

Figura 3. Ejemplo de mensaje de spam promoviendo tor-browser (.) Org

Figura 4. Ejemplo de mensaje de spam promoviendo torproect (.) Org

En abril y marzo de 2018, los delincuentes comenzaron a usar el servicio web pastebin.com para promover ambos dominios relacionados con la página web falsa del navegador Tor. Específicamente, crearon cuatro cuentas y generaron muchas pastas optimizadas para que los motores de búsqueda las clasificaran alto para palabras que cubren temas como drogas, criptomonedas, omisión de censura y los nombres de los políticos rusos.

La idea detrás de esto es que una víctima potencial realizaría una búsqueda en línea de palabras clave específicas y, en algún momento, visitaría una pasta generada. Cada pasta tiene un encabezado que promueve el sitio web falso.

Figura 5. El encabezado de una pasta que promueve sitios web falsos del navegador Tor

Esto se traduce al inglés:

BRO, descarga Tor Browser para que la policía no te vea.
Los navegadores regulares muestran lo que está viendo, incluso a través de servidores proxy y complementos de VPN.
Tor cifra todo el tráfico y lo pasa a través de servidores aleatorios de todo el mundo.
Es más confiable que VPN o proxy y evita toda censura de Roskomnadzor.
Aquí está el sitio web oficial del navegador Tor:
torproect (.) org
Navegador Tor con anti-captcha:
tor-browser (.) org
Guardar el enlace

Los delincuentes afirman que esta versión del navegador Tor tiene capacidad anti-captcha, pero en realidad esto no es cierto.

Figura 6. Un ejemplo de pegado con palabras clave relacionadas con el navegador Tor

Todas las pastas de las cuatro cuentas diferentes se vieron más de 500,000 veces. Sin embargo, no nos es posible decir cuántos espectadores visitaron realmente los sitios web y descargaron la versión troyanizada del navegador Tor.

Análisis

Este navegador Tor troyanizado es una aplicación totalmente funcional. De hecho, se basa en Tor Browser 7.5, que se lanzó en enero de 2018. Por lo tanto, las personas que no tienen conocimientos técnicos probablemente no notarán ninguna diferencia entre la versión original y la troyanada.

No se hicieron cambios al código fuente del navegador Tor; Todos los binarios de Windows son exactamente los mismos que en la versión original. Sin embargo, estos delincuentes cambiaron la configuración predeterminada del navegador y algunas de las extensiones.

Figura 7. La configuración modificada del navegador Tor troyanizado en extension-overrides.js

Los delincuentes quieren evitar que las víctimas actualicen la versión de Trojanized Tor a una versión más nueva, porque en este caso se actualizará a una versión legítima no trojanizada. Es por eso que deshabilitaron todo tipo de actualizaciones en la configuración e incluso cambiaron el nombre de la herramienta de actualización de Updater.exe a Updater.exe0.

Además de la configuración de actualización modificada, los delincuentes cambiaron el Agente de usuario predeterminado al valor codificado exclusivo:

Mozilla / 5.0 (Windows NT 6.1; rv: 77777.0) Gecko / 20100101 Firefox / 52.0

Todas las víctimas del navegador Tor troyanizado utilizarán el mismo Agente de usuario; por lo tanto, los delincuentes pueden usarlo como huella digital para detectar, en el lado del servidor, si la víctima está utilizando esta versión troyanizada.

El cambio más importante es el xpinstall.signatures.required configuraciones, que deshabilitan una verificación de firma digital para complementos instalados del navegador Tor. Por lo tanto, los atacantes pueden modificar cualquier complemento y el navegador lo cargará sin ninguna queja sobre si falla su verificación de firma digital.

Además, los delincuentes modificaron el complemento HTTPS Everywhere incluido con el navegador, específicamente su manifest.json archivo. La modificación agrega un script de contenido (script.js) que se ejecutará en carga en el contexto de cada página web.

Figura 8. Diferencia entre manifest.json original (izquierda) y modificado (derecha)

Este script inyectado notifica a un servidor de C&C sobre la dirección de la página web actual y descarga una carga útil de JavaScript que se ejecutará en el contexto de la página actual. El servidor C&C está ubicado en un dominio de cebolla, lo que significa que solo se puede acceder a través de Tor.

Figura 9. El script inyectado ejecutado en el contexto de cada página web

Como los delincuentes detrás de esta campaña saben qué sitio web está visitando actualmente la víctima, podrían servir diferentes cargas de JavaScript para diferentes sitios web. Sin embargo, ese no es el caso aquí: durante nuestra investigación, la carga útil de JavaScript siempre fue la misma para todas las páginas que visitamos.

La carga útil de JavaScript funciona como estándar webinject, lo que significa que puede interactuar con el contenido del sitio web y realizar acciones específicas. Por ejemplo, puede capturar, raspar, ocultar o inyectar contenido de una página visitada, mostrar mensajes falsos, etc.

Sin embargo, debe tenerse en cuenta que la anonimización de una víctima es una tarea difícil porque la carga útil de JavaScript se ejecuta en el contexto del navegador Tor y no tiene acceso a la dirección IP real u otras características físicas de la máquina víctima.

Mercados Darknet

La única carga útil de JavaScript que hemos visto apunta a tres de los mayores mercados de redes oscuras de habla rusa. Esta carga intenta alterar QIWI (un popular servicio ruso de transferencia de dinero) o billeteras bitcoin ubicadas en páginas de estos mercados.

Figura 10. La parte de la carga útil de JavaScript diseñada para alterar las billeteras de criptomonedas

Una vez que una víctima visita su página de perfil para agregar fondos a la cuenta directamente mediante el pago con bitcoins, el navegador Tor troyanizado intercambia automáticamente la dirección original por la dirección controlada por delincuentes.

Figura 11. Página de perfil del mercado darknet con dirección de bitcoin alterada

Durante nuestra investigación identificamos tres billeteras de bitcoin que se han utilizado en esta campaña desde 2017. Cada billetera contiene un número relativamente grande de pequeñas transacciones; Esto sugiere que estas billeteras fueron realmente utilizadas por el navegador Tor troyanizado.

Figura 12. Número de transacciones y bitcoins recibidos para la billetera de uno de los delincuentes

Al momento de escribir este artículo, la cantidad total de fondos recibidos para las tres billeteras es 4.8 bitcoin, que corresponde a más de US $ 40,000. Cabe señalar que la cantidad real de dinero robado es mayor porque el navegador Tor troyanizado también altera las billeteras QIWI.

Conclusión

Este navegador Tor troyanizado es una forma no típica de malware, diseñado para robar moneda digital de los visitantes a los mercados de darknet. Los delincuentes no modificaron los componentes binarios del navegador Tor; en su lugar, introdujeron cambios en la configuración y la extensión HTTPS Everywhere. Esto les ha permitido robar dinero digital, inadvertido, durante años.

Indicadores de compromiso (IoC)

Nombres de detección de ESET

JS / Agent.OBW
JS / Agent.OBX

SHA-1

33E50586481D2CC9A5C7FB1AC6842E3282A99E08

Dominios

torproect (.) org
tor-browser (.) org
onion4fh3ko2ncex (.) cebolla

Cuentas de Pastebin

https: // pastebin (.) com / u / antizapret
https: // pastebin (.) com / u / roscomnadzor
https: // pastebin (.) com / u / tor-browser-download
https: // pastebin (.) com / u / alex-navalnii
https: // pastebin (.) com / u / navalnii
https: // pastebin (.) com / u / obhod-blokirovki

Direcciones de Bitcoin

3338VicsoftDUetyfhTyCRPZLB5eASVdkEqQQ
3CEtinamJCciqSEgSLNoPpywWjviihYqrw
1FUPnTZNBmTJrSTvJFweJvUKxRVcaMG8oS

Técnicas MITRE ATT y CK

Anton Cherepanov 18 oct 2019-11: 30 a.m.