Un faux navigateur Tor espionne et vole des Bitcoin depuis des années

Des pirates informatiques ont distribué une version compromise du navigateur officiel Tor, qui contient des outils malveillants utilisés à la fois pour espionner les utilisateurs et voler leurs Bitcoin.

Découvert par des chercheurs de la société de sécurité informatique ESET, le cheval de Troie Tor a apparemment entraîné la perte d'une quantité relativement faible de Bitcoin à ce jour, les fonds étant récupérés par échange d'adresses lorsque les utilisateurs tentent de payer sur les Marchés du dark net.

Dans une annonce envoyée par courrier électronique à CoinDesk vendredi, Anton Cherepanov, chercheur principal en logiciels malveillants d'ESET, a déclaré que la recherche avait identifié trois portefeuilles Bitcoin utilisés par les pirates depuis 2017.

« Chacun de ces portefeuilles contient un nombre relativement important de petites transactions ; nous considérons cela comme une confirmation que ces portefeuilles ont effectivement été utilisés par le navigateur Tor trojanisé », a expliqué Cherepanov.

Au moment où l'enquête a été achevée, les trois portefeuilles avaient reçu 4,8 Bitcoin (d'une valeur de 38 700 dollars au moment de la mise sous presse), bien qu'ESET ait déclaré que le montant réel volé serait plus élevé car les portefeuilles du service de paiement russe QIWI sont également ciblés.

La campagne de piratage a ciblé les utilisateurs russophones de Tor, un réseau conçu pour KEEP les identités cachées afin d'éviter le suivi et la surveillance.

Les cybercriminels derrière le faux navigateur Tor ont utilisé des forums et pastebin.com pour distribuer leur offre en tant que version officielle en langue russe de l'application.

« Leur objectif était d'attirer des cibles linguistiques spécifiques vers une paire de sites Web malveillants, mais apparemment légitimes », a déclaré ESET.

Sur le premier site web, l'utilisateur reçoit une alerte indiquant que son navigateur Tor est obsolète, même si c'est faux. Les visiteurs trompés par ce message sont ensuite redirigés vers un second site web proposant un programme d'installation de la fausse application.

Une fois installé, le navigateur infesté de logiciels malveillants permet à ses créateurs de savoir quels sites web un utilisateur visite, de modifier les données des pages consultées et de récupérer le contenu des formulaires. Si les pirates informatiques peuvent potentiellement afficher de fausses informations aux utilisateurs, le navigateur a été observé uniquement en train de modifier les adresses de portefeuille pour voler des Bitcoin, a déclaré Cherepanov.

Torimage via Shutterstock