@ 2019.10.23 , 13:00

黑客利用Tor浏览器盗取用户比特币

研究人员找到了黑客在暗网上留下的陷阱,借此盗取用户的数字货币。

隐藏在幕后的网络攻击者多年来一直向外分发访问域名.onion所需的Tor浏览器——动过手脚的版本。

.onion是一个用于在Tor网络上寻址特殊用途的顶级域后缀。这种后缀不属于实际的域名,也并未收录于域名根区中。但只要安装了正确的代理软件,如类似于浏览器的网络软件,即可通过Tor服务器发送特定的请求来访问.onion地址。使用这种技术可以使得信息提供商与用户难以被中间经过的网络主机或外界用户所追踪。

Trojanized Tor的安装程序得到了网站tor-browser.org和torproect.org的推广。它们会告知访问者,所用版本已过时,并将其重定向到包含基于Windows版安装程序的另一家网站。目前,没有迹象表明存在恶意的macOS,Linux或移动端版本。

如选择安装,则自定义Tor浏览器的功能与合法应用程序相同。但是,黑客更改了部分设置和扩展,秘密禁用更新——甚至重命名更新工具——并将标准User-Agent参数更改为“可以检测程序在服务器端使用状况”的值。

xpinstall.signatures.required的设置也遭篡改。由合法的Tor服务执行的数字签名检查已被禁用——原本是用来防范可能危害用户安全和匿名性的恶意程序或软件,使黑客无法修改设置或加载附件。

此外,黑客篡改了默认状态下的HTTPS Everywhere附加组件,添加了一个脚本——可加载到每个网页上,并将用户的浏览活动直接发送到黑客控制(C2)服务器。

C2位于暗网中,用于托管在浏览器中执行的脚本。该JavaScript脚本专门针对3家俄语类的大型暗网市场。在这些市场中进行的交易通常使用比特币(BTC)之类的加密货币,以掩盖用户身份。

如果用户访问这些域名并试图向钱包中转移比特币,则脚本被激活并更改钱包地址,从而把比特币发送到攻击者控制的钱包中。脚本甚至会更改俄罗斯汇款服务QIWI提供的钱包地址。

研究人员说:“从理论上讲,攻击者可以针对特定网站量身定制脚本。但是,在研究过程中,我们访问的所有页面都运行了同一个脚本。”

还不知道有多少受害者,但是研究人员说,推送木马浏览器的PasteBin页面至少被浏览了100万次,已知属于黑客的某个钱包中存有4.8枚BTC,约合40000美元。考虑到还有QIWI钱包,被盗金额可能会更高。

无论是否基于俄语,从第三方网站而非官方库下载软件都存在风险。出于恶意目的篡改合法软件的手段是一种流行的策略,为降低风险,应审慎检查新软件的下载来源。

本文译自 zdnet,由 majer 编辑发布。

赞一个 (8)