ESET:假冒的Tor浏览器多年来一直在暗网上从市场用户那里扣除BTC付款
Twitter作者: @arnaldochoa
通过使用假冒网站,Pastebin.com帐户,SEO技术和论坛上的垃圾邮件,他们获得了超过50万次访问,并用数字货币窃取了约40,000美元。
***
总部位于斯洛伐克的计算机安全公司ESET小组进行的一项调查发现,存在“特洛伊木马” Tor浏览器,这是一种稀有形式的网络犯罪恶意软件,用于从暗网的市场买家那里窃取比特币。
根据We Live Security的出版物,诈骗者使用了正式的Tor浏览器程序包和pastebin.com帐户的“特洛伊木马版”,获得了约500,000次访问,并窃取了大约40,000美元的比特币付款。
假域名
根据该出版物,网络罪犯使用了两个据称与俄罗斯官方版的Tor浏览器相关的网站。
网站的第一个显示俄语消息,通知他们访问者已经过时的Tor浏览器版本,邀请他们下载最新版本。
伪造的浏览器消息已过期,显示在Torproect(。)组织中。资料来源:ESET。案文翻译成西班牙文,内容如下:
您的匿名性有危险警告:您的Tor浏览器已过时。点击“更新”按钮。
通过单击相应的按钮,访问者将被重定向到第二个网站,他们可以在其中下载Windows的安装程序。没有迹象表明同一网站具有适用于Linux,macOS或移动设备的版本。
带有下载选项的假Tor浏览器网站。资料来源:ESET
这两个域-Tor-browser(。)Org和Torproect(。)Org-于2014年创建。
第一个与真实的Torproject.org非常相似;仅缺少一封信,这对于说俄语的受害者可能不会引起怀疑。
扩散与分布
在2017年和2018年初,网络犯罪分子在与各种主题相关的各种俄罗斯论坛(例如暗网,加密货币,互联网隐私或规避网络攻击的机制)中通过垃圾邮件内容(不需要的消息)宣传了假Tor浏览器的网页。审查制度
在2018年4月和2018年3月,犯罪分子开始使用Pastebin.com网络服务来推广这两个域。具体来说,他们创建了四个帐户,并将该服务定位在搜索引擎中的利基位置,例如毒品,加密货币,检查员封锁和俄罗斯政客的名字。
ESET表示,其背后的想法是,潜在的受害者使用特定的关键字进行搜索,并在某些时候找到一些虚假的网站。
宣传虚假Tor浏览器网站的粘贴标题。资料来源:ESET
译成西班牙文的文字说:
兄弟,下载Tor浏览器,以便警察不会看到您。
常规浏览器即使通过代理服务器和VPN也会显示您所看到的内容。
Tor对所有流量进行加密,然后将其通过世界各地的随机服务器。
它比VPN或代理更可靠,并且避免了Roskomnadzor的所有审查。
这是Tor浏览器的官方网站:
Torproect(。)组织
具有反验证码的Tor浏览器:
Tor浏览器(。)组织
保存链接。
分析方法
研究人员说,由假网站推广的浏览器具有完整的功能,因为它基于2018年1月发布的Tor浏览器7.5。没有技术知识的人可能不会注意到原始版本和受感染版本之间的任何区别。
没有对Tor浏览器的源代码进行任何更改。但是,这些犯罪分子更改了默认浏览器设置和某些扩展名。这阻止了受害者将其更新为新的正式版本,其安全性并未受到损害。
在进行的不同更改中,包括对HTTPS Everywhere附件的修改,在每个网页的上下文中添加了一个可执行内容脚本。
该脚本又将当前网页的地址通知C&C服务器,并下载将在当前页面的上下文中运行的JavaScript代码。
注入的脚本在每个网页的上下文中执行。资料来源:ESET
JavaScript有效负载的工作方式类似于标准的Web注入,这意味着它可以与网站内容进行交互并执行特定的操作。
暗网骗局
ESET研究人员说:“ JavaScript观点的唯一有效负载指向了讲俄语的暗网的三个最大市场。这项收费试图改变位于这些市场页面上的QIWI或比特币钱包。”
JavaScript有效负载的一部分,旨在更改数字货币包。资料来源:ESET
一旦受害者访问其个人资料页面以通过使用比特币付款直接向帐户添加资金,Trojanized Tor浏览器就会自动将原始地址交易所为犯罪控制的地址。
暗网市场资料页面的BTC地址已更改。资料来源:ESET
«在调查过程中,我们确定了自2017年以来在此活动中使用的三个比特币钱包。每个钱包包含相对大量的小额交易;这表明这些钱包实际上已由Trojanized Tor浏览器»使用。
罪犯钱包之一收到的交易和比特币的数量。资料来源:ESET
应该指出的是,由于Trojanized Tor浏览器还会更改QIWI钱包(一种流行的俄罗斯汇款服务),因此实际被盗金额可能会更大。
资料来源: ESET的安全保障, 今天, Coindesk, 声电图。
Arnaldo Ochoa / Diario比特币版本
主图像