Tor e dark web sono due concetti non proprio popolari tra la maggioranza degli utenti che navigano su Internet, allo stesso tempo sono però molto conosciuti tra gli addetti ai lavori. Nelle ultime ore, la ristretta nicchia di persone avvezza con gli strumenti “profondo web” si sta interrogando su quanto appena scoperto, cioè sulla distribuzione di un trojan in sostituzione del promesso aggiornamento del browser (Tor).
Il raggiro durava da anni
È sorprendente notare che il raggiro durasse ormai da diversi anni, senza che qualcuno se ne fosse mai accorto per tutto questo tempo. L’utente si vedeva recapitato il messaggio di aggiornamento del browser, in quanto la sua versione era ormai obsoleta. Chi abboccava al falso update cliccava sul link presente nell’avviso, andando così a scaricare il trojan travestito da versione aggiornata del browser. La versione restava poi sempre bloccata alla data di gennaio 2018, dal momento che un eventuale nuovo aggiornamento avrebbe vanificato le funzioni extra implementate dagli hacker.
Impossibile notare la differenza tra la versione corretta di Tor e il trojan
Per rendere quanto più credibile la notizia dell’aggiornamento, spingendo così l’utente all’azione, i malviventi hanno scelto di mantenere inalterate le componenti binarie del browser. Le modifiche sostanziali invece le hanno riservate alle estensioni e alle impostazioni. Di conseguenza, chiunque non esperto a livello tecnico non poteva accorgersi che la nuova versione pubblicizzata dal messaggio altro non fosse che un trojan.
I siti malevoli torproect e tor-browser con estensione .org
L’obiettivo degli hacker, raggiunto con una disarmante facilità in molteplici casi, era di indirizzare gli utenti verso due siti malevoli. Il primo aveva per dominio torproect, il secondo tor-browser, entrambi con estensione .org. Il browser veniva scaricato tramite il secondo dominio, dove gli utenti avevano la possibilità di eseguire il download di un installer per il sistema operativo Windows. Gli utenti macOS (Apple), Linus, Android e iOS dovrebbero invece essere al sicuro.
Clienti marketplace illegali scippati
I malviventi hanno preso di mira i clienti dei marketplace russi illegali. Al momento del versamento del denaro (pagamento in Bitcoin) su un loro profilo registrato, il trojan andava a sostituire i dati del portafoglio personale delle vittime con i riferimenti del wallet detenuto dai criminali. Così facendo, gli hacker scippavano letteralmente i portafogli di criptovalute degli utenti che in precedenza avevano scaricato il Tor trojan.