Les cybercriminels volent 400 XNUMX $ de crypto-monnaie en utilisant des versions truquées du navigateur Tor. Comme on le savait, ce montant a été enregistré jusqu'à présent cette année et les personnes concernées sont 16 52 personnes dans XNUMX pays, les plus touchés étant la Russie, l'Ukraine et les États-Unis.
Navigateur Tor propose une navigation anonyme et sécurisée en acheminant le trafic web via un réseau mondial de serveurs gérés par des bénévoles qui aident à cacher leur origine et leur destination.
Comment 400 XNUMX $ de crypto-monnaie ont été volés
Le logiciel malveillant d'injection de presse-papiers cible précisément cette application du système d'exploitation. Il le surveille en permanence jusqu'à ce qu'il détecte que l'utilisateur copie et colle l'adresse d'un portefeuille de crypto-monnaie. À ce moment, sans que l'utilisateur s'en aperçoive, il le remplace par son propre portefeuille. Comme aucune connexion Internet n'est requise, le logiciel malveillant peut rester inactif pendant longtemps.
Logiciel malveillant d'injecteur de presse-papiers peut être distribué par diverses méthodestels que les pièces jointes aux e-mails, les faux sites Web et les programmes d'installation de logiciels compromis. C'est ce qui s'est passé avec le navigateur Tor.
Tout a commencé lorsque le Kremlin a interdit l'utilisation du navigateur Tor sur son territoire. Les responsables du projet ont demandé de l'aide pour garder les utilisateurs russes connectés. Les attaquants ont créé de faux installateurs et les ont distribués via un magasin tiers.
L'utilisateur victime télécharge un fichier RAR protégé par mot de passe et l'outil d'extraction. Avoir un mot de passe permet de contourner les protections de sécurité de nombreux antivirus.
L'exécutable est déguisé en programme que tous les utilisateurs ont généralement installé et commence à scanner le presse-papiers.
sPour rendre la détection plus difficile, le programme malveillant est protégé par Enigma packer, un outil de protection contre l'ingénierie inverse qui permet l'obscurcissement du code et l'application de techniques anti-débogage et de mécanismes anti-falsification. En outre, il permet au programme de s'exécuter sans nécessiter de dépendances au système d'exploitation.
Les 400 mille dollars sont ce qui peut être vérifié et consistent principalement en Bitcoins suivis des Litecoins, Ethereum et Dogecoins. Les chercheurs pensent que le nombre pourrait être beaucoup plus élevé.
Le mécanisme de l'arnaque
Le réseau Tor et Blockchain, la technologie derrière la plupart des crypto-monnaies, ont quelque chose en commun. Leurs défenseurs les vendent comme quelque chose d'inexpugnable, mais les criminels informatiques trouvent un moyen d'entrer. Dans le passé, on savait que le réseau Tor avait été piraté par le FBI.
D'après la théorie, un réseau Blockchain est sécurisé puisque toutes les transactions sont vérifiées et stockées dans un bloc avec d'autres transactions et sont signées numériquement. Chaque bloc contient des informations sur le portefeuille à partir duquel et vers quel portefeuille la transaction a été effectuée, le montant de la transaction et l'heure d'achèvement. Les transactions doivent être validées indépendamment par différents nœuds du réseau et lorsqu'un bloc est ajouté aux précédents, toute tentative de falsification est détectée.
Le point faible trouvé par les attaquants est, comme d'habitude, celui situé entre le clavier et le dossier de la chaise. Les crypto-monnaies sont stockées dans ce que l'on appelle des "portefeuilles". Chaque portefeuille est protégé par une clé qui n'est connue que de son propriétaire. Pour permettre la communication entre eux, chacun se voit attribuer un identifiant alphanumérique unique.
Au lieu d'utiliser les techniques de piratage sophistiquées que Hollywood nous montre, les cybercriminels profitent du plus commun des vices humains, la paresse. Si seul l'utilisateur prenait la peine de vérifier que l'adresse collée est la même que celle copiée, le but du malware échouerait.
Je suis franchement désolé pour les utilisateurs russes. Il est très facile de dire de ne pas télécharger de contenu de n'importe où lorsque votre pays n'est pas en guerre et gouverné par une autocratie. Mais, parfois, il n'y a pas d'options.