我們非常難以辨別日常使用的軟體,到底有沒有被駭客附加惡意程式;而日前用於造訪暗網常用的「洋蔥瀏覽器(Tor)」出現駭客活動,專門針對 Qiwi 匯款服務還有比特幣錢包進行攻擊。
網 路安全公司 ESET 的研究人員發現,具匿名功能、可保護使用者真實身份的最強隱私瀏覽器 Tor Browser,在幾年前出現專門竊取用戶比特幣的惡意木馬程式版本,而駭客可能已經通過此方式竊取價值超過 4 萬美元的比特幣。
根據 ESET 官方報告,他們發現一個附有惡意木馬程式的假冒 Tor 瀏覽器,在多年以來一直沒有引起別人注意。
駭客將這個假的 Tor 瀏覽器,放在各大俄語網路社群中並包裝得像是官方版本 Tor 瀏覽器;但一般用戶不知道,其中潛藏著惡意木馬程式的危機。
進行這項研究的 ESET 資安公司高級惡意軟體研究員 Anton Cherepanov ,對此表示:
「此惡意軟體會使駭客能夠看到受害用戶正在訪問的網站。理論上來說,駭客可以更改訪問頁面的內容、獲得受害者填寫的數據,或是顯示虛假活動廣告等消息等等。但是,我們特別注意到一種功能,是更改加密貨幣錢包。」
這個假 Tor 瀏覽器的詐騙行為,鎖定會使用 Tor 瀏覽器的俄語用戶。
雖然並非鎖定中文用戶,但讓人害怕的是 Tor 瀏覽器中也推出過繁體中文版本,而目前一般網路使用者卻難以辨別其中是否有什麼惡意程式、非法詐騙行為。
佈下蜘蛛網般的重重陷阱
為了讓使用者安裝這些附有惡意軟件的假 Tor 瀏覽器,駭客祭出許多陷阱等待受害獵物上鉤。
首先,駭客先是在各種論壇(如:pastebin.com)上推廣假 Tor 瀏覽器,並包裝成該瀏覽器的官方俄語版本下載點,希望可以將受害目標吸引到看起來合法的詐騙網站中。
第二步,在這個看似合法的網站裡,用戶會收到警告表示:「您的 Tor 瀏覽器已經過時」並將用戶們重新導向到具備安裝惡意程式功能的網站中。
第三步,在安裝完惡意木馬程式後,假 Tor 瀏覽器表面上是功能齊全的應用程式:
「犯罪分子沒修改 Tor 瀏覽器的二進制組件( Binary Components);他們反而是更改設定(Settings)和擴充功能(Extensions)。這讓那些不精通技術的人,根本不會注意到原始版本和木馬版本間的區別。」,Cherepanov 說。
但是其中也有一些細節不同,例如駭客為防止惡意軟體的特殊功能被禁止,讓受害用戶無法更新假 Tor 瀏覽器;此外,用來檢查附加功能的數字簽名也被禁止使用,以方便駭客修改任何附加功能並且讓假 Tor 瀏覽器直接下載。ㄇ
駭客還更改受害者的 C&C 伺服器(位於 Tor 瀏覽器的專屬洋蔥域中),一種具備蒐集用戶瀏覽網站活動的功能的伺服器;而理論上,駭客可以從 C&C 伺服器中動手腳讓用戶到達特定的網站,但是經研究過程用戶瀏覽的網站往往都是正確的。
這個突破口也讓 ESET 研究人員,看到該假 Tor 瀏覽器針對三個俄語最大暗網市場的終級目標:試圖更改位於暗網市場中的俄羅斯匯款服務 QIWI、比特幣錢包。
支付地址的替身攻擊
一旦受害用戶,企圖訪問個人資料頁面並使用比特幣匯款功能,將資金傳送到自己錢包帳戶的同時,假 Tor 瀏覽器會自動將用戶錢包地址與駭客底下的錢包地址進行互換。
研究人員 Cherepanov 說。
「在我們的調查過程中,我們確定了自 2017 年以來,此駭客活動中使用的三個比特幣錢包。每個此類錢包包含總額相對大量的小額交易,我們認定這個現象證實這些錢包確實為假 Tor 瀏覽器所使用。」
ESET 研究人員最終發現,三個錢包中收取的資金總額為 4.8 比特幣,約 40,000 美元。
而 Cherepanov 對此表示:「應該注意的是,由於假 Tor 瀏覽器也有對 QIWI 錢包動手腳,所以實際被(駭客)盜取的錢總價應該更高。」
而其他駭客常用的攻擊,包含竊取私鑰或是攻擊交易所等等,通常也會造成投資人大量損失。
?相關報導?
偷挖門羅幣的惡意軟體 Panda,已累積竊取近 10 萬美元
難以監測的惡意軟體「Skidmap」,正入侵 Linux 作業系統「偷挖加密貨幣」
《BlockTempo動區動趨》LINE官方號開通囉~立即加入獲得第一手區塊鏈、加密貨幣新聞報導!
