Una versione finta del browser Tor viene adoperata per installare un trojan sui computer di utenti che navigano nel sottobosco di internet per acquisti illeciti
Bratislava – “’Frate’, scarica Tor per non farti sgamare dagli sbirri. Ecco il sito ufficiale: torproect[.]org”. Il messaggio è questo ma il browser è un fake che serve solo per gonfiare di bitcoin il portafoglio degli hacker. “Black hat contro bad guy”, criminali contro presunti ma sprovveduti, volponi. La ricerca della società di sicurezza informatica Eset scopre uno scenario nuovo nel darknet: clienti dei marketplace illegali letteralmente scippati da altri “cattivi ragazzi”. Come? Sostituendo al volo il portafoglio virtuale con quello dei truffatori al momento di un acquisto o una ricarica in criptovalute. “Si ricordano solo tre precedenti attacchi agli utenti di Tor, sferrati da forze dell’ordine o da gruppi di Advanced Persistent Threat”, spiegano da Eset.
La distribuzione
La campagna durava da anni senza essere notata e diffondeva una versione trojan del noto browser, usato per la comunicazione anonima in internet. “L’utente riceve un messaggio che lo avvisa di avere una versione obsoleta di Tor, anche se così non è. Chi abbocca viene reindirizzato a un secondo sito con un installer”, spiega Anton Cherepanov, ricercatore di Eset. L’applicazione scaricata era funzionale, ma bloccata alla versione gennaio 2018 con ogni tipo di update disabilitato, in quanto avrebbe vanificato le funzionalità extra implementate dai criminali.
“Le componenti binarie del browser Tor non sono modificate, ma sono cambiate le impostazioni e le estensioni. Il risultato è che le persone tecnicamente inesperte non notano differenze tra originale e trojan”, spiega Cherepanov. I malintenzionati hanno inoltre disabilitato i check per le digital signature, in modo da caricare e modificare facilmente gli add-on sul browser.
Per distribuire il malware-browser, i criminali lo promuovevano come versione legittima di Tor in lingua russa su vari forum e su pastebin.com. Sul quest’ultimo sito, usato dai programmatori per condividere testo codice, hanno creato quattro account ottimizzati per parole chiave riferite a droga, criptovalute, politici russi d’opposizione, software anticensura. In questo modo hanno raggiunto oltre 500mila visualizzazioni.
Il loro obiettivo era indirizzare gli utenti a due siti malevoli, ma all’apparenza sicuri: torproect[.]org e tor-browser[.]org. “Nel primo caso la lettera ‘j’ mancante non solleva sospetti per un russofono, perché ‘torproect’ appare una traslitterazione dal cirillico”, spiega Cherepanov. Da lì, un messaggio chiede di scaricare il presunto browser aggiornato che manda al secondo sito con la possibilità di scaricare un installer Windows. Non ci sono indicazioni che lo stesso sito abbia versioni per Linux, macOS o mobile.
Come funziona il malware
Gli aggressori erano in grado di eseguire il loro malware nel contesto di ogni sito visitato dall’ignaro utente, per mezzo di un’estensione https everywhere modificata, inclusa nel server malevolo con l’aggiunta di uno script che veniva eseguito al caricamento di ogni pagina. Quest’ultimo notificava i siti visitati a un server C&C, localizzato in un dominio “onion” e scaricava in cambio un payload in JavaScript, eseguito nel contesto della pagina corrente, in barba all’anonimato promesso.
“Il malware permette ai criminali di vedere su quali siti naviga la vittima. A seconda di ciò possono fornire diversi JavaScript per siti diversi: potevano cambiare il contenuto della pagina, rubare i dati che la vittima inseriva nei moduli online e mostrare messaggi fake. In questo caso si sono limitati a cambiare le criptovalute nei portafogli”, spiega Cherepanov.
A essere presi di mira, tre dei più grandi darknet marketplace in lingua russa. Così, quando la vittima tentava di aggiungere denaro sul proprio profilo, usando il pagamento in bitcoin, il Tor trojan scambiava automaticamente l’indirizzo originario del wallet con quello controllato dai criminali.
“Abbiamo identificato tre portafogli bitcoin usati dal 2017. Ognuno contiene un grande numero di piccole transazioni; riteniamo sia una conferma che siano stati usati dal trojan Tor”. L’ammontare totale deviato in questo modo era di 4.8 bitcoin, cioè circa 40mila dollari. “Va notato che la quantità reale rubata è più alta, perché il browser altera anche i portafogli Qiwi, un popolare servizio di money transfer russo”, concludono gli esperti da Bratislava.
Leggi anche