Tor: Malware roba 400 mil dólares en criptomonedas

Desde su aparición en septiembre de 2022, los ataques de inyección de portapapeles han recorrido un largo camino. Kaspersky identificó un malware inyector de portapapeles bastante único que ha hecho una fortuna con las criptomonedas robadas. Miles de usuarios se han visto afectados en varios países. Las instalaciones troyanas de Tor se utilizan para explotar […]

Desde su aparición en septiembre de 2022, los ataques de inyección de portapapeles han recorrido un largo camino. Kaspersky identificó un malware inyector de portapapeles bastante único que ha hecho una fortuna con las criptomonedas robadas. Miles de usuarios se han visto afectados en varios países.

Las instalaciones troyanas de Tor se utilizan para explotar el protocolo Onion, que sirven para acceder a la Dark Web a través del navegador Tor. Estas instalaciones falsas de Tor a menudo se anuncian como versiones “con seguridad mejorada” del Proyecto oficial, o se distribuyen en países donde Tor está prohibido para dificultar el acceso a la versión oficial.

Kaspersky detectó 16.000 variaciones de estos instaladores Tor en 52 países entre agosto de 2022 y febrero de 2023, que acumularon más de $400.000 dólares en criptomonedas. La mayoría de los objetivos se encuentran en Rusia y Europa del Este, sin embargo, los EE. UU., Alemania, China, Francia, los Países Bajos y el Reino Unido también se ven afectados.

Llegando al malware inyector de portapapeles

El malware inyector de portapapeles pasivo está protegido por Enigma packer v4.0, lo que dificulta el análisis.
Se sospecha que los autores del malware usaron una versión pirateada del empaquetador, ya que no se encontró información sobre la licencia. El archivo malicioso se integra con los visores del portapapeles de Windows y recibe notificaciones cada vez que cambian los datos del portapapeles. Posteriormente, escanea cualquier texto con un conjunto de expresiones regulares incrustadas y reemplaza cualquier coincidencia con una dirección seleccionada al azar de una lista codificada.

A pesar de su naturaleza aparentemente simple, este ataque representa un peligro significativo. No solo permite transferencias de dinero irreversibles, sino que también es pasivo y difícil de detectar para el usuario medio.

Otro factor que complica la detección de portapapeles-inyectores es su carga útil. A diferencia de otros programas maliciosos, no ejecutan su carga maliciosa hasta que se cumple una condición externa, como que el portapapeles contenga datos de un determinado formato. Esto reduce la probabilidad de ser detectado a través del sandboxing automático.