
Une vague d’installateurs de navigateur Tor trojanisés cible les Russes et les Européens de l’Est avec des logiciels malveillants piratant le presse-papiers qui volent les transactions de crypto-monnaie des utilisateurs infectés.
Les analystes de Kaspersky avertissent que bien que cette attaque ne soit pas nouvelle ou particulièrement créative, elle est toujours efficace et répandue, infectant de nombreux utilisateurs dans le monde.
Alors que ces installateurs Tor malveillants ciblent des pays du monde entier, Kaspersky affirme que la plupart ciblent la Russie et l’Europe de l’Est.
« Nous relions cela à l’interdiction du site Web de Tor Project en Russie fin 2021, qui a été signalée par le projet Tor lui-même », explique Kaspersky.
« Selon ce dernier, la Russie était le deuxième pays en nombre d’utilisateurs de Tor en 2021 (avec plus de 300 000 utilisateurs quotidiens, soit 15% de tous les utilisateurs de Tor). »
Installateurs malveillants du navigateur Tor
Tor Browser est un navigateur Web spécialisé qui permet aux utilisateurs de naviguer sur le Web de manière anonyme en masquant leur adresse IP et en cryptant leur trafic.
Tor peut également être utilisé pour accéder à des domaines oignon spéciaux, autrement connus sous le nom de « web sombre », qui ne sont pas indexés par les moteurs de recherche standard ou accessibles via des navigateurs classiques.
Les détenteurs de crypto-monnaies peuvent utiliser le navigateur Tor soit pour améliorer leur confidentialité et leur anonymat lors de transactions avec des crypto-monnaies, soit parce qu’ils souhaitent accéder à des services illégaux du marché du dark web, qui sont payés en crypto.
Les installations Tor protégées par un cheval de Troie sont généralement présentées comme des versions « renforcées par la sécurité » du fournisseur officiel, Tor Project, ou transmises aux utilisateurs dans les pays où Tor est interdit, ce qui rend plus difficile le téléchargement de la version officielle.
Kaspersky indique que ces programmes d’installation contiennent une version standard du navigateur Tor, bien qu’obsolète dans la plupart des cas, ainsi qu’un exécutable supplémentaire caché dans une archive RAR protégée par mot de passe configurée pour s’extraire automatiquement sur le système de l’utilisateur.
Les programmes d’installation sont également localisés avec des noms tels que « torbrowser_ru.exe » et contiennent des modules linguistiques permettant aux utilisateurs de sélectionner leur langue préférée.

Alors que le navigateur Tor standard est lancé au premier plan, l’archive extrait le malware en arrière-plan et l’exécute comme un nouveau processus tout en l’enregistrant sur le démarrage automatique du système. De plus, le logiciel malveillant utilise une icône uTorrent pour se cacher sur le système piraté

Kaspersky a détecté 16 000 variantes de ces installateurs Tor entre août 2022 et février 2023 dans 52 pays, sur la base des données des utilisateurs de ses produits de sécurité.
Alors que la majorité cible la Russie et l’Europe de l’Est, ils ont également été vus ciblant les États-Unis, l’Allemagne, la Chine, la France, les Pays-Bas et le Royaume-Uni.

Piratage du presse-papiers
Comme les adresses de crypto-monnaie sont longues et compliquées à taper, il est courant de les copier d’abord dans le presse-papiers, puis de les coller dans un autre programme ou site Web.
Le logiciel malveillant surveille le presse-papiers à la recherche d’adresses de portefeuille crypto reconnaissables à l’aide d’expressions régulières et, lorsqu’il en détecte une, la remplace par une adresse de crypto-monnaie associée détenue par les acteurs de la menace.
Lorsque l’utilisateur colle l’adresse de crypto-monnaie, l’adresse de l’acteur de la menace sera collée à la place, permettant aux attaquants de voler la transaction envoyée.

Kaspersky affirme que l’acteur de la menace utilise des milliers d’adresses sur chaque échantillon de malware, sélectionnées au hasard dans une liste codée en dur. Cela rend le suivi, le signalement et l’interdiction des portefeuilles difficiles.
La société de cybersécurité a déballé des centaines d’échantillons de logiciels malveillants qu’elle avait collectés pour extraire les adresses de remplacement et a découvert qu’ils avaient volé près de 400 000 dollars, à l’exclusion de Monero, qui ne peut être retrouvé.

Il s’agit de l’argent volé uniquement à partir d’une seule campagne exploitée par un auteur de malware spécifique, et il existe presque certainement d’autres campagnes utilisant des installateurs trojanisés pour différents logiciels.
Pour rester à l’abri des pirates de presse-papiers, installez uniquement des logiciels provenant de sources fiables/officielles, dans ce cas, le site Web du projet Tor.
Un test simple pour vérifier si un clipper vous a infecté est de copier et coller cette adresse dans votre Bloc-notes : bc1heymalwarehowaboutyoureplacethisaddress.
S’il est modifié, cela signifie que votre système est compromis.