【网络安全新闻】假冒Tor浏览器正从暗网访客的钱包中偷取比特币

2019年10月22日00:03:58 发表评论

【网络安全新闻】假冒Tor浏览器正从暗网访客的钱包中偷取比特币

近期,一项“往Tor官方浏览器中注入木马,窃取加密货币”的恶意网络活动引起了研究人员的注意到目前为止,他们的pastebin.com帐户已经被访问超过50万次,窃取超过4万美元的比特币。

恶意域名

这个新出现的Tor木马浏览器是通过两个网站进行传播,这两个网站均声称他们正发布官方版本的Tor浏览器。第一个网站会用俄语向用户显示一条信息,声称访问者使用的是老旧的Tor浏览器。即使访问者使用的是最新的Tor浏览器,也会出现该信息。

点击Update Tor Browser按钮,访问者会被重定向到另一个网站,下载Windows版本的假冒Tor浏览器。目前还没发现Linux和macOS版本的恶意软件。

两个恶意域名tor-browser.org和torproect.org——创建于2014年,非常类似于官方的torproject.org。对于俄罗斯的受害者来说,torproect.org和torproject.org几乎没什么区别,因为torproect看起来像是西里尔字母的音译。

木马传播

在2017年和2018年初,犯罪分子利用各种垃圾信息在各种俄罗斯论坛上推广虚假Tor浏览器的下载网页。暗网市场、加密货币、互联网隐私和审查绕过的讨论主题下都出现过这种信息。某些文章中还提到了对媒体和网络领域进行审查的政府机构。

在2018年4月和3月,犯罪分子开始使用pastebin.com网站来推广这两个钓鱼域名。具体来说,他们创建了四个帐户,编写了大量宣传文章,再往其中塞入大量涉及毒品、加密货币、绕过审查制度和俄罗斯政客姓名等敏感词汇,以便在相关搜索中获得较高排名。

来自这四个不同账户的所有文章都被浏览了50多万次。当然我们还不能确定到底有多少浏览者真正访问了钓鱼网站并下载了木马版本的Tor浏览器。

木马分析

这个木马版本的Tor浏览器是一个功能齐全的恶意应用。它是基于2018年1月发布的Tor Browser 7.5搭建的。非技术人员可能不会注意到官方版本和木马版本之间存在什么区别。

犯罪分子没有改动Tor浏览器的源代码。所有Windows的二进制文件都与官方版本完全相同。但是,他们改变了默认浏览器设置和一些扩展。

犯罪分子首先阻止受害者将浏览器升级到最新的版本,因为这样木马就失效了。他们甚至将更新工具从updater.exe重命名为updater.exe0。

除了更改更新设置,犯罪分子还将默认的User-Agent更改为唯一值:

  1. Mozilla/5.0 (Windows NT 6.1; rv:77777.0) Gecko/20100101 Firefox/52.0

这导致所有受害者将使用相同的User-Agent,这样犯罪分子就可以通过服务器来分辨来访者是否中招。

最重要的更改是xpinstall.signatures.required,它会禁止对安装在Tor浏览器的插件进行数字签名检查。因此攻击者可以修改任何插件,浏览器也将默认加载,而不会报警。

此外,犯罪分子还修改了浏览器中的HTTPS Everywhere插件,特别是其中的manifest.json文件。他们往其中添加了一个script.js脚本,会在每个网页中加载执行。

这个注入的脚本会通知犯罪分子的服务器受害者当前访问的网页地址,并下载一个恶意的JS脚本。犯罪分子的服务器也是一个洋葱域名,只能通过Tor浏览器访问。

这个恶意的JS脚本会抓取受害者与网站进行交互时执行的操作。例如,它可以抓取表单、注入恶意内容、显示假消息等。

但是,由于JS脚本是在Tor浏览器中运行的,所以无法得知受害者机器的真实IP地址。

发表评论

后发表评论