剥洋葱皮：暗网购物者通过木马浏览器骗取比特币？

转自welivesecurity，作者Anton Cherepanov，Blue Mocha译

利用官方 Tor 浏览器包的特洛伊木马版本，活动背后的网络犯罪分子非常成功——到目前为止，他们的 pastebin.com 帐户已获得超过 500,000 次浏览，并窃取了超过 40,000 美元的比特币。

恶意域名

新发现的特洛伊木马 Tor 浏览器已通过两个声称分发官方俄语版 Tor 浏览器的网站传播。

第一个这样的网站用俄语显示一条消息，声称访问者使用的是过时的 Tor 浏览器。 即使访问者拥有最新的 Tor 浏览器版本，也会显示该消息。

图 1. 在 torproect[. ] 在 ]org 上伪造过时的浏览器消息

翻译：您的匿名性有风险！ 警告：您的 Tor 浏览器已过期 单击“更新”按钮

单击“更新 Tor 浏览器”按钮后，访问者将被重定向到另一个网站并可以下载 Windows 安装程序。 没有迹象表明同一站点发布了 Linux、macOS 或移动版本。

图 2. 带有下载选项的虚假 Tor 浏览器网站

这两个域 – tor-browser[. ]org 和 torproect[. ]org – 均创建于 2014 年。恶意域 torproect[. ] org 域与真正的 torproject.org 非常相似。 只是少了一封信。

对于讲俄语的受害者来说，由于“torproect”看起来像是西里尔字母的音译，没有这封信可能不会引起任何怀疑。 然而，犯罪分子似乎并不依赖嫌疑人，因为他们使用各种来源推广这两个网站。

分发

2017 年和 2018 年初，网络犯罪分子使用垃圾邮件在各种俄罗斯论坛上宣传木马化的 Tor 浏览器页面。 这些消息涵盖了各种主题，包括暗网市场、加密货币、互联网隐私和绕过审查制度。

具体来说，其中一些消息涉及 Roskomnadzor，即俄罗斯政府对媒体和电信的审查。

图 3. 提升 tor-browser[. ]org 垃圾邮件示例

图 4. 提升 torproect[. ]org 垃圾邮件示例

2018 年 4 月和 2018 年 3 月，犯罪分子开始使用 pastebin.com 网络服务来推广与虚假 Tor 网站相关的两个域。

具体来说，他们创建了四个账户并生成了一些针对搜索引擎进行了优化的粘贴，以便在涵盖毒品、加密货币、令人痛苦的审查制度和俄罗斯政治人物姓名等主题的高级词中排名更高。

其背后的想法是，潜在的受害者将在线搜索特定关键字，并在某个时候访问生成的粘贴。 每个这样的粘贴都有一个标题来宣传一个假网站。

图 5. 粘贴标头以宣传假冒的 Tor 浏览器站点

翻译：兄弟，下载 Tor 浏览器，这样警察就不会监视你。 普通浏览器甚至可以通过代理和 VPN 插件显示您正在观看的内容。 Tor 在通过世界各地的随机服务器传递所有流量之前对其进行加密。 它比 VPN 或代理更可靠，并绕过所有 Roskomnadzor 审查。 这是 Tor 浏览器官方网站：torproect[。 ]org 带有反验证码的 Tor 浏览器：tor-browser[. ] 组织

分析

这个木马化的 Tor 浏览器是一个功能齐全的应用程序。 事实上，它基于 2018 年 1 月发布的 Tor 浏览器 7.5。因此，非技术人员可能不会注意到原始版本和木马化版本之间的任何区别。

Tor 浏览器的源代码未做任何更改； 所有 Windows 二进制文件都与原始文件相同。 但是，这些罪犯会更改默认浏览器设置和一些扩展程序。

图6 extension-overrides.js中木马Tor浏览器修改设置

犯罪分子想要阻止受害者将他们的木马化 Tor 版本更新到更新的版本，因为在这种情况下它将更新到非木马化的合法版本。

这就是为什么他们禁用了设置中的所有更新，甚至将更新工具从 updater.exe 重命名为 updater.exe0。

除了更改更新设置外，犯罪分子还将默认的 User-Agent 更改为唯一的硬编码值：

Mozilla/5.0（Windows NT 6.1；rv：77777.0）Gecko/20100101 Firefox/52.0

所有 Trojanized Tor 浏览器受害者都将使用相同的用户代理； 因此，它可以被犯罪分子用作检测服务器端是否有受害者使用这个特洛伊木马化版本的信号。

最重要的变化是 xpinstall.signatures.required 设置，它禁用对已安装的 Tor 浏览器附加组件的数字签名检查。 因此，攻击者可以修改任何附加组件，并且它会被浏览器加载。

此外，犯罪分子还修改了浏览器附带的 HTTPS Everywhere 附加组件比特币官方网浏览器，特别是其 manifest.json 文件。 修改以添加将在每个网页的上下文中加载时执行的内容脚本 (script.js)。

图 7. 原始 manifest.json（左）和修改后的（右）之间的区别

这个注入的脚本通知 C&C 服务器当前网页地址，并下载将在当前页面上下文中执行的 JavaScript 负载。 C&C 服务器位于洋葱域中，这意味着它只能通过 Tor 访问。

图 8. 在每个网页的上下文中执行的注入脚本

由于此活动背后的犯罪分子知道受害者当前正在访问哪个网站，因此他们可以为不同的网站提供不同的 JavaScript 有效负载。 然而，情况并非如此：在我们的研究过程中，JavaScript 负载对于我们访问的所有页面始终是相同的。

JavaScript 有效负载充当标准的 webinject，这意味着它可以与网站内容交互并执行特定操作。 例如，它可以进行表单抓取、抓取、隐藏或注入已访问页面的内容、显示虚假消息等。

暗网市场

我们看到的唯一 JavaScript 有效载荷针对的是三个最大的俄语暗网市场。 此有效负载试图更改位于这些市场页面上的 QIWI（一种流行的俄罗斯汇款服务）或比特币钱包。

图 9. 旨在改变加密货币钱包的 JavaScript 有效载荷的一部分

一旦受害者访问他们的个人资料页面并使用比特币支付直接将资金添加到帐户中比特币官方网浏览器，木马化的 Tor 浏览器就会自动将原始地址换成由犯罪分子控制的地址。

图 10. 更改了比特币地址的暗网市场概览页面

在我们的调查中，我们确定了自 2017 年以来在该活动中使用的三个比特币钱包。这些钱包中的每一个都包含相对大量的小额交易； 表明这些钱包确实被特洛伊木马化的 Tor 浏览器使用。

图 11. 犯罪分子钱包中收到的交易和比特币数量

在撰写本文时，所有三个钱包都收到了总计 4.8 BTC 的资金，相当于超过 40,000 美元。 需要注意的是，由于木马Tor浏览器还对QIWI钱包进行了改造，实际被盗金额更高。

综上所述

这个木马化的 Tor 浏览器是一种非典型的恶意软件，旨在从访问暗网市场的访问者那里窃取数字货币。

犯罪分子没有修改 Tor 浏览器的二进制组件。 相反，他们引入了对设置和 HTTPS Everywhere 扩展的更改。 多年来，这让他们可以不假思索地窃取数字货币。

免责声明：我们尊重原作者的版权，除非无法确认作者，否则都会注明作者和出处。 转载文章仅供个人学习研究，同时对原作者表示感谢。 如涉及版权问题，请联系小编及时删除！

精彩背后

大家好，我是超级盾牌