Delincuentes informáticos roban 400 mil dólares en criptomonedas utilizando versiones adulteradas del navegador Tor. Según se conoció, este monto se registró en lo que va del año y los afectados son 16 mil personas en 52 países siendo los más afectados Rusia, Ucrania y Estados Unidos.
El Navegador Tor propone navegar en forma anónima y segura enrutando el tráfico web a través de una red global de servidores manejados por voluntarios que contribuyen a ocultar su origen y el destino.
Cómo robaron 400 mil dólares en criptomonedas
El malware de inyección de portapapeles tiene como blanco precisamente a esta aplicación del sistema operativo. La monitorea constantemente hasta que detectan que el usuario copia y pega la dirección de una billetera de criptomonedas. En ese momento, sin que el usuario se de cuenta la reemplazan por la de su propia billetera. Dado que no se requiere ningún tipo de conexión a Internet el malware puede permanecer latente mucho tiempo.
El malware del inyector de portapapeles se puede distribuir a través de varios métodos, como archivos adjuntos de correo electrónico, sitios web falsos e instaladores de software comprometidos. Esto fue lo que pasó con el navegador de Tor.
Todo comenzó cuando el Kremlin prohibió el uso del navegador Tor dentro de su territorio. Los responsables del proyecto pidieron ayuda para mantener a los usuarios rusos conectados. Los atacantes crearon instaladores falsos y lo distribuyeron a través de una tienda de terceros.
El usuario víctima descarga un archivo RAR protegido con contraseña y la herramienta de extracción. El tener contraseña ayuda a eludir las protecciones de seguridad de muchos antivirus.
El ejecutable se disfraza de un programa de los que todos los usuarios solemos tener instalados y comienza a escanear el portapapeles.
sPara hacer más difícil la detección, el programa malicioso está protegido por Enigma packer, una herramienta de protección contra ingeniería inversa que permite la ofuscación de código y la aplicación de técnicas anti depuración y mecanismos anti manipulación. Además, hace que el programa se ejecute sin requerir dependencias del sistema operativo.
Los 400 mil dólares son lo que se puedo comprobar y consisten en su mayor parte en Bitcoins seguido de Litecoins, Ethereum y Dogecoins. Los investigadores creen que la cantidad puede ser mucho mayor.
El mecanismo de la estafa
La red Tor y Blockchain, la tecnología detrás de la mayoría de las criptomonedas, tienen algo en común. Sus defensores las venden como algo inexpugnable pero los delincuentes informáticos encuentran una vía de acceso. En el pasado se supo que la red Tor había sido intervenida por el FBI.
Desde la teoría una red Blockchain es segura ya que todas las transacciones se verifican y se almacenan en un bloque con otras transacciones y es firmado digitalmente. Cada bloque contiene información sobre desde qué y hasta cuál billetera se hizo la transacción, el monto de la misma y el momento de la realización. Las transacciones deben ser validadas de manera independiente por distintos nodos de la red y cuando un bloque se agrega a los anteriores cualquier intento de adulteración es detectado.
El punto débil que encontraron los atacantes es, como de costumbre, el que se ubica entre el teclado y el respaldo de la silla. Las criptomonedas se almacenan en las denominadas «billeteras». Cada billetera está protegida por una clave que es solo conocida por su dueño. Para permitir la comunicación entre ellas a cada una se le asigna un identificador alfanumérico único.
En lugar de usar las sofisticadas técnicas de hackeo que nos muestra Hollywood los delincuentes informáticos aprovechan el más común de los vicios humanos, la pereza. Con solo que el usuario se tomara la molestia de comprobar que la dirección que se pega es la misma que copió, el propósito del malware fracasaría.
Francamente lo lamento por los usuarios rusos. Es muy fácil decir que no te descargues cosas de cualquier lado cuando tu país no está en guerra y gobernado por una autocracia. Pero, a veces no hay opciones.