近期,一项“往Tor官方浏览器中注入木马,窃取加密货币”的恶意网络活动引起了研究人员的注意——到目前为止,他们的pastebin.com
帐户已经被访问超过50万次,窃取超过4万美元的比特币。
恶意域名
这个新出现的Tor木马浏览器是通过两个网站进行传播,这两个网站均声称他们正发布官方版本的Tor浏览器。第一个网站会用俄语向用户显示一条信息,声称访问者使用的是老旧的Tor浏览器。即使访问者使用的是最新的Tor浏览器,也会出现该信息。
点击Update Tor Browser
按钮,访问者会被重定向到另一个网站,下载Windows版本的假冒Tor浏览器。目前还没发现Linux和macOS版本的恶意软件。
两个恶意域名tor-browser.org
和torproect.org
——创建于2014年,非常类似于官方的torproject.org
。对于俄罗斯的受害者来说,torproect.org
和torproject.org
几乎没什么区别,因为torproect
看起来像是西里尔字母的音译。
传播
在2017年和2018年初,犯罪分子利用各种垃圾信息在各种俄罗斯论坛上推广虚假Tor浏览器的下载网页。暗网市场、加密货币、互联网隐私和审查绕过的讨论主题下都出现过这种信息。某些文章中还提到了对媒体和网络领域进行审查的政府机构。
在2018年4月和3月,犯罪分子开始使用pastebin.com
网站来推广这两个钓鱼域名。具体来说,他们创建了四个帐户,编写了大量宣传文章,再往其中塞入大量涉及毒品、加密货币、绕过审查制度和俄罗斯政客姓名等敏感词汇,以便在相关搜索中获得较高排名。
犯罪分子还声称这个版本的Tor浏览器具有反验证码的功能,但事实并非如此。
来自这四个不同账户的所有文章都被浏览了50多万次。当然我们还不能确定到底有多少浏览者真正访问了钓鱼网站并下载了木马版本的Tor浏览器。
分析
这个木马版本的Tor浏览器是一个功能齐全的恶意应用。它是基于2018年1月发布的Tor Browser 7.5搭建的。非技术人员可能不会注意到官方版本和木马版本之间存在什么区别。
犯罪分子没有改动Tor浏览器的源代码。所有Windows的二进制文件都与官方版本完全相同。但是,他们改变了默认浏览器设置和一些扩展。
犯罪分子首先阻止受害者将浏览器升级到最新的版本,因为这样木马就失效了。他们甚至将更新工具从updater.exe
重命名为updater.exe0
。
除了更改更新设置,犯罪分子还将默认的User-Agent
更改为唯一值:
Mozilla/5.0 (Windows NT 6.1; rv:77777.0) Gecko/20100101 Firefox/52.0
这导致所有受害者将使用相同的User-Agent
,这样犯罪分子就可以通过服务器来分辨来访者是否中招。
最重要的更改是xpinstall.signatures.required
,它会禁止对安装在Tor浏览器的插件进行数字签名检查。因此攻击者可以修改任何插件,浏览器也将默认加载,而不会报警。
此外,犯罪分子还修改了浏览器中的HTTPS Everywhere
插件,特别是其中的manifest.json
文件。他们往其中添加了一个script.js
脚本,会在每个网页中加载执行。
这个注入的脚本会通知犯罪分子的服务器受害者当前访问的网页地址,并下载一个恶意的JS脚本。犯罪分子的服务器也是一个洋葱域名,只能通过Tor浏览器访问。
这个恶意的JS脚本会抓取受害者与网站进行交互时执行的操作。例如,它可以抓取表单、注入恶意内容、显示假消息等。
但是,由于JS脚本是在Tor浏览器中运行的,所以无法得知受害者机器的真实IP地址。
暗网
目前所看到的唯一的JS脚本瞄准了三个最大的俄语暗网市场。它们会试图改变网页中包含的比特币钱包地址。
而且一旦受害者访问他们的个人资料页面,木马版本的Tor浏览器就会自动将原始钱包地址转换为犯罪分子的钱包地址。
在整个的调查过程中,我们发现自2017年以来,有3个比特币钱包被用于此次恶意活动,每个钱包都包含大量的小额交易。
截至到本文撰写之时,三个比特币钱包共收到4.8个比特币,相当于4万多美元。值得注意的是,木马版本的Tor浏览器也会更改QIWI电子钱包的账户,因此被盗金额可能更高。
本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://www.welivesecurity.com/2019/10/18/fleecing-onion-trojanized-tor-browser/