Cibercriminales utilizan un proxy de Tor para robar Bitcoins a otros cibercriminales

Share this…

El gran valor que ha llegado a alcanzar ciertas criptodivisas las ha convertido en algo muy codiciado por los cibercriminales. En MuySeguridad hemos comentado muchas veces en los últimos tiempos sobre malware dedicado a minar critpomonedas utilizando los recursos de ordenadores ajenos, sin embargo, la avaricia está provocando que cibercriminales estén robando a otros cibercriminales. Ver para creer.

Los ransomware suelen pedir los pagos de los rescates en bitcoins para no dejar rastro. Muchas víctimas, dejándose llevar por la desesperación, terminan utilizando cualquier proxy de Tor (en lugar de Tor Browser) para realizar el proceso de pago y poder recuperar los ficheros. Lo malo es que los proxies de Tor son propiedad de personas que pueden llevar a cabo ataques man-in-the-middle para ver y modificar el tráfico generado entre usuario y servidor.

Según denuncia Proofpoint, eso mismo es lo que está pasando con el proxy onion.top, que se dedica a reemplazar las direcciones de Bitcoin en las páginas web visitadas para desviar el dinero que tendría que ir a los desarrolladores de ransomware, yendo a parar en realidad a la cartera de los administradores del proxy. De momento se sabe que ha afectado a las campañas de Locker, Globelmposter y Sigma, y en el caso del primero ya han modificado su sitio web para avisar a los usuarios de que no usen onion.top.

Locker avisando de que no se use el proxy de Tor onion.top para realizar los pagos de los rescates de su ransomware

En los casos de Globelmposter y Sigma, los investigadores han detectado dos direcciones de Bitcoin diferentes. Mientras que Tor Browser mostraba la correcta, cuando la misma página web era visitada mediante el proxy onion.top quedaba modificada por la utilizada por los encargados del proxy.

Los investigadores de Proofpoint han detectado que mediante la dirección de Bitcoin mostrada por onion.top se han robado 1,82 bitcoins, lo que vienen a ser unos 20.000 dólares estadounidenses. Sin embargo, no se descarta que los cibercriminales estén usando o hayan usado otras direcciones de Bitcoin para llevar a cabo sus robos.

Proofpoint avisa de que la volatilidad de las criptodivisas y el creciente interés en la red Tor pueden terminar convirtiendo este tipo de actos en una tendencia.

Fuente:https://www.muyseguridad.net/2018/01/31/cibercriminales-proxy-tor-robar-bitcoins-cibercriminales/