駭客打造的山寨版Tor官網,誘騙使用者下載有毒的Tor Browser 7.5,能變更HTTPS Everywhere擴充程式的設定,以允許載入與執行特定的腳本程式。(圖片來源/ESET)

資安業者ESET本周警告,駭客在各大地下論壇推銷專門用來造訪暗網的Tor Browser瀏覽器,卻在該瀏覽器中動了手腳,當受害者造訪俄羅斯暗網市集並執行交易時,便偷偷地把市集中的加密貨幣錢包換成駭客的錢包,從2017年到現在,總計竊取了4.8個比特幣,獲利約4萬美元。

根據ESET的調查,駭客申請了兩個類似Tor官網的網址:tor-browser.org與torproect.org,這兩個網站都是採用俄文,並在地下論壇裡推銷Tor瀏覽器的優點,再將使用者導向tor-browser.org,在該網站上警告使用者的瀏覽器過期了,應該要下載最新的版本,再引導使用者至torproect.org下載。

然而,torproect.org所存放的Tor瀏覽器,是2018年1月所釋出的Tor Browser 7.5,這個有毒的瀏覽器以標準的Tor瀏覽器為基礎,但竄改了一些瀏覽器的預設設定與擴充程式,例如關閉了所有的更新;讓所有受害者都使用同樣的代理人;關閉安裝擴充程式所要求的數位簽章功能;還變更HTTPS Everywhere擴充程式的設定,以允許載入與執行特定的腳本程式。

該腳本程式可通知遠端伺服器有關使用者正在造訪的網頁,還能下載額外的JavaScript酬載,此一酬載則能抓取表單、隱藏或注射內容,還能顯示偽造的訊息。

駭客鎖定了3個最大的俄文暗網市集,以該JavaScript酬載變更加密貨幣交易服務QIWI或網頁上所呈現的加密貨幣錢包的位址,將受害者所存入的比特幣轉到駭客所掌控的3個帳號中。

兩個偽造的Tor官網是在2014年就成立了,而駭客的加密錢包則是在2017年申請,ESET追蹤發現駭客的加密錢包已經累積了價值超過4萬美元的4.8個比特幣,但若從其它的時間點來看,相信駭客的不法所得超過此一數字。

總之,有許多案例都在提醒使用者,下載任何軟體最好自己搜尋官網,而不要輕信各式網站上所張貼的連結。

熱門新聞

Advertisement