Des hackers diffusent dans des forums un clone malveillant de Tor Browser qui est capable de détourner les transactions pour alimenter leurs propres portefeuilles.
Acheter de la drogue sur le Dark Web est non seulement illégal, mais également risqué sur le plan financier. Les acheteurs prenaient déjà le risque de se faire flouer par les places de marché qui peuvent subitement fermer leurs portes et partir avec les dépôts de leurs utilisateurs (« exit scam »). Désormais, les acheteurs peuvent également être victimes d’un détournement de leurs fonds au moment du paiement. C’est en effet ce qu’a découvert Anton Cherepanov, chercheur chez Eset. En traînant sur des forums liés au Dark Web, il découvre des messages faisant la promotion d’un clone du navigateur Tor Browser, visiblement destiné à des utilisateurs russophones.
Il décide de le télécharger et de l’analyser. Il découvre que ce navigateur s’appuie sur Tor Browser 7.5, dont il reprend toutes les fonctionnalités, sauf quelques unes particulièrement importantes. Ainsi, le processus de mise à jour est désactivé. Par ailleurs, l’extension HTTPS Everywhere, qui force l’établissement de connexions chiffrées, a été modifiée. C’est devenu un cheval de Troie qui guette les URL en .ONION auxquels se connecte l’utilisateur.
En effet, le malware intègre une liste d’une poignée d’adresses de places de marché russes du Dark Web. Si l’une de ces adresses apparaît dans la navigation, il injecte un Javascript malveillant dans la page. Ce code est capable de détecter la validation d’une transaction et de changer les adresses de destination à la volée. En d’autres termes, l’utilisateur pense qu’il en train d’envoyer des fonds à son vendeur de drogue. En réalité, il va alimenter un compte créé par les pirates.
Des dizaines de milliers d’euros siphonnés
Cette arnaque fonctionne non seulement avec les portefeuilles bitcoin, mais aussi avec les portefeuilles QIWI, un mode de paiement dématérialisé utilisé en Russie. D’après les informations fournies par la blockchain, les pirates ont réussi ainsi à siphonner 4,8 bitcoins, soit l’équivalent de 34 780 euros. « Mais le montant total est sans doute largement supérieur si l’on ajoute les détournements QIWI que nous ne pouvons pas estimer », précise Robert Lipovsky, un chercheur chez Eset qui a également participé à cette analyse.
Cette histoire montre en tous les cas qu’il ne faut jamais télécharger des logiciels depuis un lien posté dans un message. Il faut systématiquement se référer au site web du fournisseur.
