Le réseau libre décentralisé Tor, habituellement utilisé pour anonymiser les connexions, est depuis quelques mois victime d'un cheval de Troie qui vise tout particulièrement les utilisateurs russes.
Leurs portefeuilles de crypto-monnaies sont directement ciblés.
Des programmes d'installation contaminés
Largement utilisé dans les pays où Internet est très contrôlé ou pour se rendre sur dark web, Tor permet en principe d'anonymiser la connexion et d'accéder à des sites qui sont bloqués ou non référencés. Le navigateur masque l'adresse IP et chiffre les paramètres de navigation, mais il peut quand même faire l'objet de tentatives d'arnaque. Ces derniers mois, une vague de versions infectées de Tor se répand sur le Web et vise tout particulièrement les utilisateurs russes. D'autres pays d'Europe de l'Est sont touchés, mais dans une moindre mesure.
Très concrètement, les versions infectées intègrent un cheval de Troie qui passe par le presse-papiers pour voler les transactions liées aux crypto-monnaies. Selon Kaspersky, la méthode est relativement fréquente, mais l'ampleur de l'attaque semble actuellement importante. Les analystes estiment que cela est en grande partie lié au blocage du site de Tor sur le sol russe, qui a eu lieu fin 2021. Autrement dit, les pirates profitent de l'interdiction pour proposer des versions contaminées, présentées comme renforcées au niveau de la sécurité. Au total, on parle d'un préjudice de plus de 400 000 dollars.
Une cible idéale ?
Toujours d'après Kaspersky, la Russie était en deuxième position des pays utilisant le plus le navigateur Tor, avec plus de 300 000 utilisateurs quotidiens. Depuis l'interdiction du site officiel de Tor Project sur le territoire, de nombreux utilisateurs cherchent un moyen de contourner les restrictions. Certains internautes utilisent Tor pour aller sur le dark web et réaliser des actions illégales payées en crypto, tandis que d'autres souhaitent simplement anonymiser leur navigation et se soustraire au regard des autorités.
La crypto-monnaie étant au centre des utilisations récentes de Tor, c'est là que se dirigent les voleurs. Les analystes se sont penchés sur les fichiers infectés et ont remarqué qu'ils embarquent souvent une version standard obsolète de Tor, mais également un fichier exécutable caché dans un dossier RAR qui s'extrait automatiquement sur le système et qui se paramètre pour se lancer au démarrage. Avant d'avoir pu dire « ouf », les victimes voient leur portefeuille se vider.
Entre août 2022 et février 2023, 16 000 variantes de ces navigateurs infectés ont été repérées dans près de 52 pays. Leur traçage est très compliqué, donc la meilleure solution reste de ne télécharger que des fichiers proposés par des sites officiels. En cas de doute, il est possible de tester le système en copiant-collant bc1heymalwarehowaboutyoureplacethisaddress dans le presse-papiers. S'il a été modifié, c'est que le système est compromis.
Source : BleepingComputer
