您现在的位置是:首页 > 比特币 > 比特币新闻比特币新闻

ESET:假洋葱浏览器Tor正在偷走战斗民族的比特币

2019-10-20来源:作者:有一亿栏目:比特币新闻

简介ESET的研究人员发现,具匿名功能、可保护使用者真实身份的最强隐私浏览器洋葱Tor,在近日出现专门盗取用户比特币的恶意木马程序,黑客将假Tor浏览器包装得和官方版本一样

我们非常难以辨别日常使用的软件,到底有没有被黑客附加恶意程序;而日前用于造访暗网常用的洋葱浏览器(Tor)出现黑客活动,专门针对Qiwi汇款服务还有比特币钱包进行攻击。

网路安全公司ESET的研究人员发现,具匿名功能、可保护使用者真实身份的最强隐私浏览器洋葱Tor,在近日出现专门盗取用户比特币的恶意木马程序,而黑客可能已经通过此方式窃取价值超过4万美元的比特币。

洋葱浏览器Tor

根据ESET官方报告,他们发现一个附有恶意木马程序的假冒Tor浏览器,在多年以来一直没有引起别人注意。

黑客将这个假的Tor洋葱浏览器,放在各大俄语网络社群中并包装得像是官方版本Tor洋葱浏览器一样;但一般用户不知道,其中潜藏着恶意木马程序。

进行这项研究的ESET安全公司高级恶意软件研究员 Anton Cherepanov ,对此表示:此恶意软件会使黑客能够看到受害用户正在访问的网站。理论上来说,黑客可以更改访问页面的内容、获得受害者填写的数据,或是显示虚假活动广告等消息等等。但是,我们特别注意到一种功能,是更改加密货币钱包。

这个假Tor洋葱浏览器的诈骗行为,锁定会使用Tor洋葱浏览器的俄语用户。

虽然并非锁定中文用户,但让人害怕的是Tor洋葱浏览器中也推出过繁体中文版本,而目前一般网络使用者却难以辨别其中是否有什么恶意程序、非法诈骗行为。

布下蜘蛛网般的重重陷阱

为了让使用者安装这些附有恶意软件的假 Tor洋葱浏览器,黑客祭出许多陷阱等待受害猎物上钩。

首先,黑客先是在各种论坛(如:pastebin)上推广假Tor洋葱浏览器,并包装成该浏览器的官方俄语版本下载点,希望可以将受害目标吸引到看起来合法的诈骗网站中。

第二步,在这个看似合法的网站里,用户会收到警告表示:您的Tor洋葱浏览器已经过时,并将用户们重新导向到具备安装恶意程序功能的网站中。

第三步,在安装完恶意木马程序后,假Tor浏览器表面上是功能齐全的应用程序:犯罪分子没修改 Tor 浏览器的二进制组件( Binary Components);他们反而是更改设定(Settings)和扩充功能(Extensions)。这让那些不精通技术的人,根本不会注意到原始版本和木马版本间的区别。

但是其中也有一些细节不同,例如黑客为防止恶意软件的特殊功能被禁止,让受害用户无法更新假Tor洋葱浏览器;此外,用来检查附加功能的数字签名也被禁止使用,以方便黑客修改任何附加功能并且让假Tor浏览器直接下载。

黑客还更改受害者的 C&C 服务器(位于 Tor 浏览器的专属洋葱域中),一种具备蒐集用户浏览网站活动的功能的服务器;而理论上,黑客可以从 C&C 服务器中动手脚让用户到达特定的网站,但是经研究过程用户浏览的网站往往都是正确的。

这个突破口也让 ESET 研究人员,看到该假 Tor 浏览器针对三个俄语最大暗网市场的终级目标:试图更改位于暗网市场中的俄罗斯汇款服务 QIWI、比特币钱包。

支付地址的替身攻击

一旦受害用户企图访问个人资料页面并使用比特币汇款功能,将资金传送到自己钱包帐户的同时,假Tor洋葱浏览器会自动将用户钱包地址与黑客底下的钱包地址进行互换。

研究人员 Cherepanov 说:在我们的调查过程中,我们确定了自 2017 年以来,此黑客活动中使用的三个比特币钱包。每个此类钱包包含总额相对大量的小额交易,我们认定这个现象证实这些钱包确实为假Tor洋葱浏览器所使用。

ESET 研究人员最终发现,三个钱包中收取的资金总额为 4.8 比特币,约 40000 美元。

而 Cherepanov 对此表示:应该注意的是,由于假Tor洋葱浏览器也有对 QIWI 钱包动手脚,所以实际被(黑客)盗取的钱总价应该更高。

ESET   洋葱浏览器   Tor   比特币

很赞哦! ()

    股票