online gambling singapore online gambling singapore online slot malaysia online slot malaysia mega888 malaysia slot gacor live casino malaysia online betting malaysia mega888 mega888 mega888 mega888 mega888 mega888 mega888 mega888 mega888 ESET:專門針對俄國人的假「洋蔥瀏覽器 Tor」,正在偷走戰鬥民族的比特幣

 

網 路安全公司 ESET 的研究人員發現,具匿名功能、可保護使用者真實身份的最強隱私瀏覽器 Tor Browser,在幾年前出現專門竊取用戶比特幣的惡意木馬程式版本,而駭客可能已經通過此方式竊取價值超過 4 萬美元的比特幣。

根據 ESET 官方報告,他們發現一個附有惡意木馬程式的假冒 Tor 瀏覽器,在多年以來一直沒有引起別人注意。

駭客將這個假的 Tor 瀏覽器,放在各大俄語網路社群中並包裝得像是官方版本 Tor 瀏覽器;但一般用戶不知道,其中潛藏著惡意木馬程式的危機。

進行這項研究的 ESET 資安公司高級惡意軟體研究員 Anton Cherepanov ,對此表示:

「此惡意軟體會使駭客能夠看到受害用戶正在訪問的網站。理論上來說,駭客可以更改訪問頁面的內容、獲得受害者填寫的數據,或是顯示虛假活動廣告等消息等等。但是,我們特別注意到一種功能,是更改加密貨幣錢包。」

這個假 Tor 瀏覽器的詐騙行為,鎖定會使用 Tor 瀏覽器的俄語用戶。

雖然並非鎖定中文用戶,但讓人害怕的是 Tor 瀏覽器中也推出過繁體中文版本,而目前一般網路使用者卻難以辨別其中是否有什麼惡意程式、非法詐騙行為。

佈下蜘蛛網般的重重陷阱

為了讓使用者安裝這些附有惡意軟件的假 Tor 瀏覽器,駭客祭出許多陷阱等待受害獵物上鉤。

首先,駭客先是在各種論壇(如:pastebin.com)上推廣假 Tor 瀏覽器,並包裝成該瀏覽器的官方俄語版本下載點,希望可以將受害目標吸引到看起來合法的詐騙網站中。

第二步,在這個看似合法的網站裡,用戶會收到警告表示:「您的 Tor 瀏覽器已經過時」並將用戶們重新導向到具備安裝惡意程式功能的網站中。

第三步,在安裝完惡意木馬程式後,假 Tor 瀏覽器表面上是功能齊全的應用程式:

「犯罪分子沒修改 Tor 瀏覽器的二進制組件( Binary Components);他們反而是更改設定(Settings)和擴充功能(Extensions)。這讓那些不精通技術的人,根本不會注意到原始版本和木馬版本間的區別。」,Cherepanov 說。

但是其中也有一些細節不同,例如駭客為防止惡意軟體的特殊功能被禁止,讓受害用戶無法更新假 Tor 瀏覽器;此外,用來檢查附加功能的數字簽名也被禁止使用,以方便駭客修改任何附加功能並且讓假 Tor 瀏覽器直接下載。ㄇ

駭客還更改受害者的 C&C 伺服器(位於 Tor 瀏覽器的專屬洋蔥域中),一種具備蒐集用戶瀏覽網站活動的功能的伺服器;而理論上,駭客可以從 C&C 伺服器中動手腳讓用戶到達特定的網站,但是經研究過程用戶瀏覽的網站往往都是正確的。

這個突破口也讓 ESET 研究人員,看到該假 Tor 瀏覽器針對三個俄語最大暗網市場的終級目標:試圖更改位於暗網市場中的俄羅斯匯款服務 QIWI、比特幣錢包。

支付地址的替身攻擊

一旦受害用戶,企圖訪問個人資料頁面並使用比特幣匯款功能,將資金傳送到自己錢包帳戶的同時,假 Tor 瀏覽器會自動將用戶錢包地址與駭客底下的錢包地址進行互換。

研究人員 Cherepanov 說。

「在我們的調查過程中,我們確定了自 2017 年以來,此駭客活動中使用的三個比特幣錢包。每個此類錢包包含總額相對大量的小額交易,我們認定這個現象證實這些錢包確實為假 Tor 瀏覽器所使用。」

ESET 研究人員最終發現,三個錢包中收取的資金總額為 4.8 比特幣,約 40,000 美元。

而 Cherepanov 對此表示:「應該注意的是,由於假 Tor 瀏覽器也有對 QIWI 錢包動手腳,所以實際被(駭客)盜取的錢總價應該更高。」

而其他駭客常用的攻擊,包含竊取私鑰或是攻擊交易所等等,通常也會造成投資人大量損失。

 

轉貼自: 動區

若喜歡本文,請關注我們的臉書 Please Like our Facebook Page: Big Data In Finance

 


留下你的回應

以訪客張貼回應

0
  • 找不到回應

YOU MAY BE INTERESTED