網 路安全公司 ESET 的研究人員發現，具匿名功能、可保護使用者真實身份的最強隱私瀏覽器 Tor Browser，在幾年前出現專門竊取用戶比特幣的惡意木馬程式版本，而駭客可能已經通過此方式竊取價值超過 4 萬美元的比特幣。

根據 ESET 官方報告，他們發現一個附有惡意木馬程式的假冒 Tor 瀏覽器，在多年以來一直沒有引起別人注意。

駭客將這個假的 Tor 瀏覽器，放在各大俄語網路社群中並包裝得像是官方版本 Tor 瀏覽器；但一般用戶不知道，其中潛藏著惡意木馬程式的危機。

進行這項研究的 ESET 資安公司高級惡意軟體研究員 Anton Cherepanov ，對此表示：

「此惡意軟體會使駭客能夠看到受害用戶正在訪問的網站。理論上來說，駭客可以更改訪問頁面的內容、獲得受害者填寫的數據，或是顯示虛假活動廣告等消息等等。但是，我們特別注意到一種功能，是更改加密貨幣錢包。」

這個假 Tor 瀏覽器的詐騙行為，鎖定會使用 Tor 瀏覽器的俄語用戶。

雖然並非鎖定中文用戶，但讓人害怕的是 Tor 瀏覽器中也推出過繁體中文版本，而目前一般網路使用者卻難以辨別其中是否有什麼惡意程式、非法詐騙行為。

佈下蜘蛛網般的重重陷阱

為了讓使用者安裝這些附有惡意軟件的假 Tor 瀏覽器，駭客祭出許多陷阱等待受害獵物上鉤。

首先，駭客先是在各種論壇（如：pastebin.com）上推廣假 Tor 瀏覽器，並包裝成該瀏覽器的官方俄語版本下載點，希望可以將受害目標吸引到看起來合法的詐騙網站中。

第二步，在這個看似合法的網站裡，用戶會收到警告表示：「您的 Tor 瀏覽器已經過時」並將用戶們重新導向到具備安裝惡意程式功能的網站中。

第三步，在安裝完惡意木馬程式後，假 Tor 瀏覽器表面上是功能齊全的應用程式：

「犯罪分子沒修改 Tor 瀏覽器的二進制組件（ Binary Components）；他們反而是更改設定（Settings）和擴充功能（Extensions）。這讓那些不精通技術的人，根本不會注意到原始版本和木馬版本間的區別。」，Cherepanov 說。

但是其中也有一些細節不同，例如駭客為防止惡意軟體的特殊功能被禁止，讓受害用戶無法更新假 Tor 瀏覽器；此外，用來檢查附加功能的數字簽名也被禁止使用，以方便駭客修改任何附加功能並且讓假 Tor 瀏覽器直接下載。ㄇ

駭客還更改受害者的 C&C 伺服器（位於 Tor 瀏覽器的專屬洋蔥域中），一種具備蒐集用戶瀏覽網站活動的功能的伺服器；而理論上，駭客可以從 C&C 伺服器中動手腳讓用戶到達特定的網站，但是經研究過程用戶瀏覽的網站往往都是正確的。

這個突破口也讓 ESET 研究人員，看到該假 Tor 瀏覽器針對三個俄語最大暗網市場的終級目標：試圖更改位於暗網市場中的俄羅斯匯款服務 QIWI、比特幣錢包。

支付地址的替身攻擊

一旦受害用戶，企圖訪問個人資料頁面並使用比特幣匯款功能，將資金傳送到自己錢包帳戶的同時，假 Tor 瀏覽器會自動將用戶錢包地址與駭客底下的錢包地址進行互換。

研究人員 Cherepanov 說。

「在我們的調查過程中，我們確定了自 2017 年以來，此駭客活動中使用的三個比特幣錢包。每個此類錢包包含總額相對大量的小額交易，我們認定這個現象證實這些錢包確實為假 Tor 瀏覽器所使用。」

ESET 研究人員最終發現，三個錢包中收取的資金總額為 4.8 比特幣，約 40,000 美元。

而 Cherepanov 對此表示：「應該注意的是，由於假 Tor 瀏覽器也有對 QIWI 錢包動手腳，所以實際被（駭客）盜取的錢總價應該更高。」

而其他駭客常用的攻擊，包含竊取私鑰或是攻擊交易所等等，通常也會造成投資人大量損失。

轉貼自： 動區

若喜歡本文，請關注我們的臉書 Please Like our Facebook Page： Big Data In Finance