关注我们,每天呈递更多精彩!转自welivesecurity,作者Anton Cherepanov,蓝色摩卡译利用正式版的Tor浏览器软件包的木马版本,该活动背后的网络犯罪分子非常成功-到目前为止,他们的pastebin.com帐户已获得超...
关注我们,每天呈递更多精彩!
转自welivesecurity,作者Anton Cherepanov,蓝色摩卡译
利用正式版的Tor浏览器软件包的木马版本,该活动背后的网络犯罪分子非常成功-到目前为止,他们的pastebin.com帐户已获得超过500,000次浏览,并且能够盗窃40,000美元以上的比特币。
恶意域名
这个新发现的木马Tor浏览器已通过两个网站进行传播,这两个网站声称它们发布了Tor浏览器的官方俄语版本。
第一个这样的网站以俄语显示一条消息,声称该访客具有过时的Tor浏览器。即使访问者具有最新的Tor浏览器版本,也会显示该消息。
图1.显示在torproect [。] org上的伪造的过时浏览器消息
翻译:您的匿名性有危险!警告:您的Tor浏览器已过时单击按钮“更新”
单击“更新Tor浏览器”按钮后,访问者将被重定向到另一个网站,并可以下载Windows安装程序。没有迹象表明同一网站已经发布了Linux,macOS或移动版本。
图2.带有下载选项的Fake Tor Browser网站
这两个域– tor-browser [。] org和torproect [。] org –均创建于2014年。恶意域torproect [。] org域与真实的torproject.org非常相似。它只是缺少一个字母。
对于说俄语的受害者,由于“ torproect”看起来像是西里尔字母的音译,因此缺少这个字母可能不会引起任何怀疑。但是,犯罪分子看起来并没有依靠犯罪嫌疑人,因为他们利用各种资源宣传了这两个网站。
分配
在2017年和2018年初,网络犯罪分子使用垃圾邮件在各种俄罗斯论坛上宣传了木马Tor浏览器的网页。这些消息包含各种主题,包括暗网市场,加密货币,互联网隐私和审查绕过。
具体而言,其中一些消息提到俄罗斯政府对媒体和电信进行审查的俄罗斯政府Roskomnadzor。
图3.提升tor-browser [。] org的垃圾邮件示例
图4.提升torproect [。] org的垃圾邮件示例
在2018年4月和2018年3月,犯罪分子开始使用pastebin.com网络服务来推广与假Tor网站相关的两个域名。
具体来说,他们创建了四个帐户,并生成了许多针对搜索引擎进行优化的粘贴,以使其在排名较高的单词上排名较高,这些单词涵盖了诸如毒品,加密货币,审查制度绕过以及俄罗斯政治人物的名字等主题。
其背后的想法是,潜在的受害者将在线搜索特定的关键字,并在某个时候访问生成的粘贴。每个此类粘贴都有一个标头,用于宣传假冒网站。
图5.宣传虚假的Tor Browser网站的粘贴标题
翻译:弟兄,下载Tor浏览器,以便警察不会监视您。常规浏览器甚至可以通过代理和VPN插件显示您正在观看的内容。Tor对所有流量进行加密,然后将其通过世界各地的随机服务器。它比VPN或代理更可靠,并且绕过了所有Roskomnadzor审查制度。这是Tor浏览器官方网站:torproect [。] org具有反验证码的Tor浏览器:tor-browser [。] org
分析
这个木马的Tor浏览器是一个功能齐全的应用程序。实际上,它基于2018年1月发布的Tor浏览器7.5。因此,不懂技术的人可能不会注意到原始版本和木马化版本之间的任何区别。
Tor浏览器的源代码未做任何更改;所有Windows二进制文件都与原始版本完全相同。但是,这些犯罪分子更改了默认浏览器设置和某些扩展名。
图6. extension-overrides.js中木马Tor浏览器的修改设置
犯罪分子希望防止受害者将木马Tor版本更新为较新版本,因为在这种情况下,它将被更新为非木马合法版本。
这就是为什么他们禁用设置中的所有更新,甚至将更新程序工具从updater.exe重命名为updater.exe0的原因。
除了更改的更新设置之外,犯罪分子还将默认的User-Agent更改为唯一的硬编码值:
Mozilla / 5.0(Windows NT 6.1; rv:77777.0)Gecko / 20100101 Firefox / 52.0
所有木马化的Tor浏览器受害者都将使用相同的User-Agent;因此,它可以用作犯罪分子的判断依据,以便在服务器端检测受害者是否正在使用此木马版本。
最重要的更改是xpinstall.signatures.required设置,该设置将禁用已安装的Tor Browser加载项的数字签名检查。因此,攻击者可以修改任何附加组件,并且该组件将由浏览器加载。
此外,犯罪分子还修改了浏览器随附的HTTPS Everywhere附加组件,特别是其manifest.json文件。修改后添加了一个内容脚本(script.js),该脚本将在每个网页的上下文中在加载时执行。
图7.原始manifest.json(左)和已修改(右)之间的区别
该注入的脚本将当前网页地址通知C&C服务器,并下载将在当前页面的上下文中执行的JavaScript有效负载。C&C服务器位于洋葱域上,这意味着只能通过Tor进行访问。
图8.在每个网页的上下文中执行的注入脚本
由于此活动背后的犯罪分子知道受害者当前正在访问哪个网站,因此他们可以为不同的网站提供不同的JavaScript负载。但是,情况并非如此:在我们的研究过程中,我们访问的所有页面的JavaScript有效负载始终相同。
JavaScript有效负载充当标准的webinject,这意味着它可以与网站内容进行交互并执行特定操作。例如,它可以进行表单抓取,抓取,隐藏或注入被访问页面的内容,显示虚假消息等。
暗网市场
我们看到的唯一JavaScript有效负载瞄准了三个最大的俄语俄语暗网市场。此有效负载试图更改位于这些市场页面上的QIWI(一种流行的俄罗斯汇款服务)或比特币钱包。
图9. JavaScript有效载荷的一部分,旨在更改加密货币钱包
一旦受害者访问他们的个人资料页面以便使用比特币付款直接向帐户添加资金,木马病毒的Tor浏览器会自动将原始地址交换为犯罪分子控制的地址。
图10.更改了比特币地址的暗网市场概况页面
在我们的调查过程中,我们确定了自2017年以来已在此活动中使用的三个比特币钱包。每个此类钱包包含相对大量的小额交易;这表明这些钱包确实已被木马Tor浏览器使用。
图11.罪犯钱包之一的交易数量和收到的比特币
截至撰写本文时,所有三个钱包的已收资金总额为4.8比特币,相当于40,000美元以上。应当指出的是,由于木马Tor Browser也更改了QIWI钱包,因此实际被盗金额更高。
结论
这种木马病毒的Tor浏览器是一种非典型的恶意软件,旨在从访问暗网市场的访客那里窃取数字货币。
犯罪分子没有修改Tor浏览器的二进制组件。相反,他们引入了对设置和HTTPS Everywhere扩展的更改。这使他们多年来一直在不加注意地窃取数字货币。
声明:我们尊重原创者版权,除确实无法确认作者外,均会注明作者和来源。转载文章仅供个人学习研究,同时向原创作者表示感谢,若涉及版权问题,请及时联系小编删除!
精彩在后面
Hi,我是超级盾
超级盾能做到:防得住、用得起、接得快、玩得好、看得见、双向数据加密!
截至到目前,超级盾成功抵御史上最大2.47T黑客DDoS攻击,超级盾具有无限防御DDoS、100%防CC的优势
举报/反馈
注册有任何问题请添加 微信:MVIP619 拉你进入群
打开微信扫一扫
添加客服
进入交流群
上一篇:鲸鱼将BTC推入狭窄的盘整区间:接下来会发生什么? 下一篇:?FoxuPay
发表评论