I criminali informatici rubano criptovalute per un valore di $ 400 utilizzando versioni truccate del browser Tor. Come si sapeva, tale importo è stato registrato finora quest'anno e le persone colpite sono 16mila persone in 52 paesi, i più colpiti sono Russia, Ucraina e Stati Uniti.
TorBrowser propone la navigazione anonima e sicura instradando il traffico web attraverso una rete globale di server gestiti da volontari che aiutano a nascondere la loro origine e destinazione.
Come è stata rubata una criptovaluta per un valore di $ 400
Il malware di iniezione degli appunti prende di mira proprio questa applicazione del sistema operativo. Lo monitora costantemente finché non rileva che l'utente sta copiando e incollando l'indirizzo di un portafoglio di criptovaluta. In quel momento, senza che l'utente se ne accorga, lo sostituiscono con il proprio portafoglio. Poiché non è richiesta alcuna connessione a Internet, il malware può rimanere dormiente per molto tempo.
Malware iniettore di appunti può essere distribuito tramite vari metodicome allegati e-mail, siti Web falsi e programmi di installazione software compromessi. Questo è quello che è successo con il browser Tor.
Tutto è iniziato quando il Cremlino ha vietato l'uso del browser Tor all'interno del suo territorio. I responsabili del progetto hanno chiesto aiuto per mantenere connessi gli utenti russi. Gli aggressori hanno creato programmi di installazione falsi e li hanno distribuiti tramite un negozio di terze parti.
L'utente vittima scarica un file RAR protetto da password e lo strumento di estrazione. Avere una password aiuta a bypassare le protezioni di sicurezza di molti antivirus.
L'eseguibile è mascherato da un programma che di solito tutti gli utenti hanno installato e avvia la scansione degli appunti.
sPer rendere più difficile il rilevamento, il programma dannoso è protetto da Enigma packer, uno strumento di protezione del reverse engineering che consente l'offuscamento del codice e l'applicazione di tecniche anti-debug e meccanismi anti-manomissione. Inoltre, fa funzionare il programma senza richiedere dipendenze del sistema operativo.
I 400 mila dollari sono quelli verificabili e consistono per lo più in Bitcoin seguiti da Litecoin, Ethereum e Dogecoin. I ricercatori ritengono che il numero potrebbe essere molto più alto.
Il meccanismo della truffa
La rete Tor e Blockchain, la tecnologia alla base della maggior parte delle criptovalute, hanno qualcosa in comune. I loro difensori li vendono come qualcosa di inespugnabile, ma i criminali informatici trovano un modo per entrare. In passato si sapeva che la rete Tor era stata violata dall'FBI.
Dalla teoria una rete Blockchain è sicura poiché tutte le transazioni vengono verificate e archiviate in un blocco con altre transazioni ed è firmata digitalmente. Ogni blocco contiene informazioni su da quale e su quale portafoglio è stata effettuata la transazione, l'importo della transazione e l'ora del completamento. Le transazioni devono essere validate in modo indipendente da diversi nodi di rete e quando un blocco viene aggiunto ai precedenti, viene rilevato qualsiasi tentativo di manomissione.
Il punto debole trovato dagli aggressori è, come di consueto, quello situato tra la tastiera e lo schienale della sedia. Le criptovalute sono conservate nei cosiddetti "portafogli". Ogni portafoglio è protetto da una chiave conosciuta solo dal suo proprietario. Per consentire la comunicazione tra di loro, a ciascuno viene assegnato un identificatore alfanumerico univoco.
Invece di utilizzare le sofisticate tecniche di hacking che Hollywood ci mostra, i criminali informatici sfruttano il più comune dei vizi umani, la pigrizia. Se solo l'utente si prendesse la briga di verificare che l'indirizzo incollato sia lo stesso di quello copiato, lo scopo del malware fallirebbe.
Sono francamente dispiaciuto per gli utenti russi. È molto facile dire di non scaricare roba da nessuna parte quando il tuo paese non è in guerra e governato da un'autocrazia. Ma a volte non ci sono opzioni.