Se ha descubierto un sistema que se está llevando a cabo para robar bitcoins a los usuarios de la Dark Web: están distribuyendo una versión maliciosa del navegador Tor, necesaria para acceder a esta parte de Internet.
Esta versión falsa de Tor se ha distribuido desde hace años, e incluye un ladrón de bitcoins en su núcleo.
Los que quieran entrar en la Dark Web necesitan el navegador Tor, es un requisito para poder acceder a los sitios con dominio .onion, y hay una versión falsa que se ha distribuido en foros y en pastebin divulgándose como «versión oficial en ruso del navegador Tor. Esta acción se ha realizado durante 2017 y 2018.
El instalador de Trojanized Tor también se promociona en dos sitios web mal escritos, tor-browser.org y torproect.org. En ruso, los dominios muestran mensajes informando a los visitantes que su versión Tor está desactualizada e intentan redirigirlos a otro sitio web que contenga un instalador basado en Windows. En la actualidad, no hay signos de una versión maliciosa para macOS, Linux o móvil.
Si está instalado, el navegador Tor personalizado funciona de la misma manera que la aplicación legítima. Sin embargo, se han realizado cambios en la configuración y las extensiones para deshabilitar las actualizaciones de forma encubierta, incluso yendo tan lejos como para cambiar el nombre de la herramienta de actualización, y para cambiar el Agente de usuario estándar a un valor que pueda detectar el uso del programa en el lado del servidor.
El complemento HTTPS Everywhere, incluido de forma predeterminada, se ha modificado también para agregar un script que se carga en cada página web y envía la actividad de navegación del usuario directamente a un servidor controlado por atacantes.
Para robar bitcoins tiene un sistema que se ejecuta en el navegador, en Javascript, y dirige específicamente a tres grandes mercados de Dark Web de habla rusa. Las compras realizadas en estos mercados se realiza en bitcoins con el fin de enmascarar la transacción y la identidad del usuario, pero al hacer una compra mediante la adición de fondos a su cartera, la secuencia de comandos se activa y se cambiaa la dirección de la cartera, enviando el dinero a los atacantes.
Los investigadores dicen que las páginas de PasteBin que promocionan el navegador troyano han sido visitadas al menos medio millón de veces, y se han robado ya 4.8 BTC, lo que equivale a unos 40.000 dólares, aunque seguramente el valor real sea mucho mayor.
Podéis obtener más información sobre el tema en welivesecurity.com.