Vol de bitcoins visant les utilisateurs du darknet

Des chercheurs ont détecté une campagne longtemps passée inaperçue dont le but était de distribuer une version trojanisée du navigateur officiel Tor Browser pour espionner ses utilisateurs et leur voler des bitcoins.

Ce malware permet aux criminels ayant conçu la campagne de voir le site Internet actuellement visité par la victime. En théorie, ils peuvent modifier le contenu de la page visitée, obtenir les données saisies dans les formulaires par la victime et afficher de faux messages, entre autres. Nous avons cependant constaté l’usage d’une seule fonctionnalité particulière, à savoir modifier les portefeuilles de cryptomonnaie.

La campagne ciblait les utilisateurs russophones du réseau anonyme Tor. Pour distribuer le navigateur infecté par le malware, les criminels l’ont présenté – sur plusieurs forums et sur pastebin.com – comme la version officielle en langue russe de Tor Browser. Leur but était d’attirer des cibles d’une langue spécifique vers deux sites Internet malicieux paraissant officiels.

« Sur le premier site Internet, l’utilisateur recevait un avertissement indiquant que sa version de Tor Browser était obsolète, quand bien même cela n’était pas vrai. Les personnes hameçonnées étaient ensuite redirigées vers un second site Internet proposant un installateur« , explique un chercheur de chez ESET Anton Cherepanov.

Une fois installé, le Tor Browser trojanisé est une application entièrement fonctionnelle. « Les criminels n’ont pas changé les composants binaires de Tor Browser mais ont modifié les paramètres et les extensions. Par conséquent, les personnes non technophiles ne remarqueront probablement pas de différence entre la version originale et la version trojanisée », commente le chercheur.

Parmi les modifications, toutes les mises à jour des paramètres sont désactivées et l’outil de mise à jour est renommé afin d’empêcher l’utilisateur de mettre le navigateur à jour, ce qui impliquerait la perte des capacités requises par les criminels.

La signature numérique assure que les extensions sont également désactivées, permettant aux criminels de modifier toutes les extensions et de les télécharger facilement avec le navigateur.

Les criminels ont également effectué des modifications indiquant à un serveur C&C – situé sur un domaine onion et donc uniquement accessible via Tor – le site Internet actuellement visité par la victime et offrant au navigateur un contenu JavaScript. « En théorie, les criminels peuvent proposer des contenus sur mesure pour des sites Internet spécifiques. Cependant, dans le cadre de notre enquête, le contenu JavaScript était identique sur tous les sites que nous avons visités« , remarque Anton Cherepanov.

Le contenu JavaScript que les chercheurs ont consulté cible trois des principaux marchés du darknet russophone. Ce contenu tente de modifier les portefeuilles de QIWI (un service russe populaire de transfert d’argent) ou de bitcoins sur les sites Internet de ces marchés.

Lorsqu’une victime visite sa page de profil pour ajouter des fonds à son compte en utilisant directement le paiement par bitcoins, le Tor Browser trojanisé remplace automatiquement l’adresse bitcoin d’origine par l’adresse contrôlée par les criminels.

« Au cours de notre enquête, nous avons identifié trois portefeuilles de bitcoins utilisés dans le cadre de cette campagne depuis 2017. Chaque portefeuille contient un grand nombre de petites transactions, c’est pourquoi nous considérons que ces portefeuilles ont été utilisés par le Tor Browser trojanisé« , explique Anton Cherepanov.

À l’issue de l’enquête, le montant total des fonds reçus par ces trois portefeuilles s’élevait à 4,8 bitcoins, soit environ 35 000 EUR. « Il convient de noter que le montant volé est en réalité supérieur, car le Tor Browser trojanisé modifie également les portefeuilles QIWI« , conclut le chercheur