安全企业ESET本周警告,黑客在各大地下论坛推销专门用来访问暗网的Tor Browser浏览器,却在该浏览器中动了手脚,当受害者访问俄罗斯暗网市场并执行交易时,便偷偷地把市场中的加密货币钱包换成黑客的钱包,从2017年到现在,总计窃取了4.8个比特币,获利约4万美元。
根据ESET的调查,黑客申请了两个类似Tor官网的网址:tor-browser.org与torproect.org,这两个网站都是采用俄文,并当地下论坛里推销Tor浏览器的优点,再将用户导向tor-browser.org,在该网站上警告用户的浏览器过期了,应该要下载最新的版本,再引导用户至torproect.org下载。
然而,torproect.org所存放的Tor浏览器,是2018年1月所发布的Tor Browser 7.5,这个有毒的浏览器以标准的Tor浏览器为基础,但篡改了一些浏览器的默认设置与扩展程序,例如关闭了所有的更新;让所有受害者都使用同样的代理人;关闭安装扩展程序所要求的数字签名功能;还变更HTTPS Everywhere扩展程序的设置,以允许加载与执行特定的脚本程序。
该脚本程序可通知远程服务器有关用户正在访问的网页,还能下载额外的JavaScript酬载,该酬载则能抓取表单、隐藏或注射内容,还能显示伪造的消息。
黑客锁定了3个最大的俄文暗网市场,以该JavaScript酬载变更加密货币交易服务QIWI或网页上所呈现的加密货币钱包的地址,将受害者所存入的比特币转到黑客所掌控的3个账号中。
两个伪造的Tor官网是在2014年就成立了,而黑客的加密钱包则是在2017年申请,ESET关注发现黑客的加密钱包已经累积了价值超过4万美元的4.8个比特币,但若从其它的时间点来看,相信黑客的不法所得超过该数字。
总之,有许多案例都在提醒用户,下载任何软件最好自己搜索官网,而不要轻信各式网站上所发布的连接。