Les autorités

Vol de bitcoins visant les utilisateurs du darknet

Des chercheurs ont détecté une campagne longtemps passée inaperçue dont le but était de distribuer une version trojanisée du navigateur officiel Tor Browser pour espionner ses utilisateurs et leur voler des bitcoins.

Ce malware permet aux criminels ayant conçu la campagne de voir le site Internet actuellement visité par la victime. En théorie, ils peuvent modifier le contenu de la page visitée, obtenir les données saisies dans les formulaires par la victime et afficher de faux messages, entre autres. Nous avons cependant constaté l’usage d’une seule fonctionnalité particulière, à savoir modifier les portefeuilles de cryptomonnaie.

La campagne ciblait les utilisateurs russophones du réseau anonyme Tor. Pour distribuer le navigateur infecté par le malware, les criminels l’ont présenté – sur plusieurs forums et sur pastebin.com – comme la version officielle en langue russe de Tor Browser. Leur but était d’attirer des cibles d’une langue spécifique vers deux sites Internet malicieux paraissant officiels.

« Sur le premier site Internet, l’utilisateur recevait un avertissement indiquant que sa version de Tor Browser était obsolète, quand bien même cela n’était pas vrai. Les personnes hameçonnées étaient ensuite redirigées vers un second site Internet proposant un installateur« , explique un chercheur de chez ESET Anton Cherepanov.

Une fois installé, le Tor Browser trojanisé est une application entièrement fonctionnelle. « Les criminels n’ont pas changé les composants binaires de Tor Browser mais ont modifié les paramètres et les extensions. Par conséquent, les personnes non technophiles ne remarqueront probablement pas de différence entre la version originale et la version trojanisée », commente le chercheur.

Parmi les modifications, toutes les mises à jour des paramètres sont désactivées et l’outil de mise à jour est renommé afin d’empêcher l’utilisateur de mettre le navigateur à jour, ce qui impliquerait la perte des capacités requises par les criminels.

La signature numérique assure que les extensions sont également désactivées, permettant aux criminels de modifier toutes les extensions et de les télécharger facilement avec le navigateur.

Les criminels ont également effectué des modifications indiquant à un serveur C&C – situé sur un domaine onion et donc uniquement accessible via Tor – le site Internet actuellement visité par la victime et offrant au navigateur un contenu JavaScript. « En théorie, les criminels peuvent proposer des contenus sur mesure pour des sites Internet spécifiques. Cependant, dans le cadre de notre enquête, le contenu JavaScript était identique sur tous les sites que nous avons visités« , remarque Anton Cherepanov.

Le contenu JavaScript que les chercheurs ont consulté cible trois des principaux marchés du darknet russophone. Ce contenu tente de modifier les portefeuilles de QIWI (un service russe populaire de transfert d’argent) ou de bitcoins sur les sites Internet de ces marchés.

Lorsqu’une victime visite sa page de profil pour ajouter des fonds à son compte en utilisant directement le paiement par bitcoins, le Tor Browser trojanisé remplace automatiquement l’adresse bitcoin d’origine par l’adresse contrôlée par les criminels.

« Au cours de notre enquête, nous avons identifié trois portefeuilles de bitcoins utilisés dans le cadre de cette campagne depuis 2017. Chaque portefeuille contient un grand nombre de petites transactions, c’est pourquoi nous considérons que ces portefeuilles ont été utilisés par le Tor Browser trojanisé« , explique Anton Cherepanov.

À l’issue de l’enquête, le montant total des fonds reçus par ces trois portefeuilles s’élevait à 4,8 bitcoins, soit environ 35 000 EUR. « Il convient de noter que le montant volé est en réalité supérieur, car le Tor Browser trojanisé modifie également les portefeuilles QIWI« , conclut le chercheur

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

  1. ungars Reply

    Citation : « Parmi les modifications, toutes les mises à jour des paramètres sont désactivées et l’outil de mise à jour est renommé afin d’empêcher l’utilisateur de mettre le navigateur à jour »
    Il faut vraiment être culcul-la-praline pour ne rien voir, là, non ? On bien abimé par la Vodka, camarade…

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.