Tor com trojan estão sendo usados para roubar criptomoedas

Segundo os analistas da Kaspersky, uma onda de instaladores do navegador Tor com trojan estão sendo usados para roubar criptomoedas.

Tor Browser é um navegador especializado que permite aos usuários navegar na web anonimamente, ocultando seu endereço IP e criptografando seu tráfego.

O Tor também pode ser usado para acessar domínios cebola especiais, também conhecidos como “dark web”, que não são indexados por mecanismos de pesquisa padrão ou acessíveis por meio de navegadores comuns.

Agora, uma onda de instaladores do navegador Tor com trojan tem como alvo russos e europeus orientais com malware de sequestro de pranchetas que rouba transações de criptomoedas dos usuários infectados.

Tor com trojan estão sendo usados para roubar criptomoedas

Tor com trojan estão sendo usados para roubar criptomoedas
Tor com trojan estão sendo usados para roubar criptomoedas

Os analistas da Kaspersky alertam que, embora esse ataque não seja novo ou particularmente criativo, ainda é eficaz e predominante, infectando muitos usuários em todo o mundo.

Embora esses instaladores maliciosos do Tor tenham como alvo países em todo o mundo, a Kaspersky diz que a maioria tem como alvo a Rússia e a Europa Oriental.

“Relacionamos isso ao banimento do site do Projeto Tor na Rússia no final de 2021, que foi relatado pelo próprio Projeto Tor”, explica a Kaspersky.

“De acordo com este último, a Rússia foi o segundo maior país em número de usuários do Tor em 2021 (com mais de 300.000 usuários diários, ou 15% de todos os usuários do Tor).”

Os detentores de criptomoedas podem usar o navegador Tor para aumentar sua privacidade e anonimato ao fazer transações com criptomoedas ou porque desejam acessar serviços ilegais do mercado da dark web, que são pagos em criptomoedas.

As instalações trojanizadas do Tor são normalmente promovidas como versões “reforçadas de segurança” do fornecedor oficial, Tor Project, ou enviadas para usuários em países onde o Tor é proibido, dificultando o download da versão oficial.

A Kaspersky diz que esses instaladores contêm uma versão padrão do navegador Tor, embora desatualizada na maioria dos casos, junto com um executável extra escondido dentro de um arquivo RAR protegido por senha definido para auto-extração no sistema do usuário.

Os instaladores também são localizados com nomes como ‘torbrowser_ru.exe’ e contêm pacotes de idiomas que permitem aos usuários selecionar seu idioma preferido.

Tor com trojan estão sendo usados para roubar criptomoedas
Tor com trojan estão sendo usados para roubar criptomoedas – Pacote de idiomas do Navegador Tor malicioso Fonte: Kaspersky

Enquanto o navegador Tor padrão é iniciado em primeiro plano, o arquivo extrai o malware em segundo plano e o executa como um novo processo, além de registrá-lo na inicialização automática do sistema.

Além disso, o malware usa um ícone do uTorrent para se esconder no sistema violado.

Tor com trojan estão sendo usados para roubar criptomoedas
Tor com trojan estão sendo usados para roubar criptomoedas – Diagrama de infecção Trojanizada do Tor Fonte: Kaspersky

A Kaspersky detectou 16.000 variantes desses instaladores Tor entre agosto de 2022 e fevereiro de 2023 em 52 países, com base em dados de usuários de seus produtos de segurança.

Embora a maioria tenha como alvo a Rússia e a Europa Oriental, eles também foram vistos como alvo nos Estados Unidos, Alemanha, China, França, Holanda e Reino Unido.

Tor com trojan estão sendo usados para roubar criptomoedas
Tor com trojan estão sendo usados para roubar criptomoedas – Número de infecções mensais detectadas pela Kaspersky Fonte: Kaspersky

Como os endereços de criptomoedas são longos e complicados de digitar, é comum copiá-los primeiro para a área de transferência e depois colá-los em outro programa ou site.

O malware monitora a área de transferência em busca de endereços de carteira criptográfica reconhecíveis usando expressões regulares e, quando um é detectado, o substitui por um endereço de criptomoeda associado pertencente aos agentes da ameaça.

Quando o usuário colar o endereço da criptomoeda, o endereço do agente da ameaça será colado, permitindo que os invasores roubem a transação enviada.

Regex detectando um endereço de carteira e substituindo-o
Tor com trojan estão sendo usados para roubar criptomoedas – Regex detectando um endereço de carteira e substituindo-o Fonte: Kaspersky

A Kaspersky diz que o agente da ameaça usa milhares de endereços em cada amostra de malware, selecionados aleatoriamente em uma lista codificada. Isso dificulta o rastreamento, a geração de relatórios e o banimento da carteira.

A empresa de segurança cibernética descompactou centenas de amostras de malware coletadas para extrair os endereços de substituição e descobriu que eles roubaram quase US$ 400.000, excluindo o Monero, que não pode ser rastreado.

Quantidades roubadas confirmadas
Tor com trojan estão sendo usados para roubar criptomoedas – Quantidades roubadas confirmadas Fonte: Kaspersky

Este é o dinheiro roubado apenas de uma única campanha operada por um autor de malware específico, e quase certamente existem outras campanhas usando instaladores trojanizados para diferentes softwares.

Para ficar protegido contra sequestradores de área de transferência, instale apenas software de fontes confiáveis/oficiais, neste caso, o site do Projeto Tor.

Um teste simples para verificar se um clipper o infectou é copiar e colar este endereço no seu bloco de notas: bc1heymalwarehowaboutyoureplacethisaddress.

Se for alterado, significa que seu sistema está comprometido.

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.