資安威脅無孔不入,就連號稱能匿名瀏覽暗網的 Tor Browser 也成了駭客的目標!資安業者 ESET 近期發出嚴峻警告,揭露駭客集團精心設計的騙局:他們在各大地下論壇積極推銷偽造的 Tor Browser 瀏覽器,誘騙受害者下載安裝。然而,這款被動了手腳的瀏覽器卻暗藏玄機,一旦受害者透過它造訪俄羅斯暗網市集並進行加密貨幣交易,駭客就會神不知鬼不覺地將市集中的加密貨幣錢包位址替換成自己的,從而竊取受害者的比特幣。從 2017 年至今,這個駭客集團已透過此手法累積竊取了約 4.8 個比特幣,獲利估計超過 4 萬美元。
偽裝的誘餌:駭客如何佈局假冒 Tor Browser 的陷阱?
這起大規模的加密貨幣竊盜案,駭客展現了高度的欺騙性與耐心。ESET 的調查揭示了駭客佈局的關鍵環節:
1. 相似網址的迷惑戰術
駭客首先註冊了兩個與 Tor Browser 官方網站極其相似的網址:tor-browser.org 和 torproect.org。光看一眼,許多人可能難以分辨出與 torproject.org 官方網址的細微差別。更具迷惑性的是,這兩個偽造網站都採用俄文介面,這顯然是針對俄羅斯語系用戶進行的精準打擊。這種語言選擇,結合俄羅斯暗網市集作為目標,暗示了駭客對目標受眾的深入了解。
2. 地下論壇的惡意推廣
為了讓更多人落入圈套,駭客在各大地下論壇積極推銷這些偽造的 Tor Browser。這些論壇通常是尋求匿名瀏覽或參與暗網活動的用戶聚集地,駭客利用這些用戶對匿名性的需求,將惡意瀏覽器偽裝成安全工具進行推廣。這種針對特定社群的精準投放,大大增加了受害者上當的機率。
3. 循序漸進的下載誘導
駭客並非一開始就直接提供惡意瀏覽器。他們採用了「兩步走」的策略來引導用戶下載:
- 第一步:引導至
tor-browser.org。 用戶首先會被引導至tor-browser.org這個網站。在這個網站上,駭客會巧妙地利用用戶對軟體更新的普遍需求,彈出警告訊息,聲稱用戶的瀏覽器已過期,需要下載最新版本。這種看似「善意」的提醒,實則為後續的惡意下載鋪路。 - 第二步:導向
torproect.org進行下載。 當用戶被誘導點擊下載最新版本時,他們會被重定向到torproect.org。這個網站正是惡意 Tor Browser 的「大本營」。
篡改的程式碼:惡意 Tor Browser 的內部操作
torproect.org 所提供的 Tor Browser 並非真正的最新版。ESET 發現,這是一個基於 2018 年 1 月釋出的 Tor Browser 7.5 版本,但其中已被駭客動了手腳,植入了惡意程式碼。這款「有毒」的瀏覽器進行了多項惡意修改,以確保其惡意目的能夠順利達成:
- 關閉自動更新: 惡意瀏覽器會關閉所有的更新功能。這是一個關鍵的惡意行為,因為它阻止了瀏覽器接收來自官方的安全性修復,讓駭客能夠長時間控制受害者的瀏覽器,避免其功能因更新而失效。
- 統一代理人設置: 所有的受害者都會被強制使用同樣的代理人。這使得駭客能夠更有效地監控受害者的流量,並在關鍵時刻進行篡改。
- 繞過數位簽章驗證: 惡意瀏覽器關閉了安裝擴充程式所需的數位簽章功能。這為駭客後續注入惡意擴充程式或腳本程式提供了便利,降低了其惡意行為被偵測的風險。
- 操控 HTTPS Everywhere 擴充程式: 駭客還變更了廣受用戶信賴的 HTTPS Everywhere 擴充程式的設定。這個通常用於強制 HTTPS 加密的擴充程式被修改後,竟然允許載入與執行特定的腳本程式。這是一個極為陰險的手段,利用了用戶對知名擴充程式的信任,為惡意腳本的執行打開了綠燈。
這些被篡改的瀏覽器設定,為駭客後續的比特幣竊盜行為提供了完美的操作環境。
竊盜鏈條:瞄準暗網市集的加密貨幣錢包
惡意 Tor Browser 中的核心威脅,是一個能夠通知遠端伺服器使用者正在造訪網頁的腳本程式。這個腳本程式不僅可以收集受害者的瀏覽行為,更重要的是,它還能下載額外的 JavaScript 酬載。這個酬載才是真正實施竊盜行為的關鍵:
- 鎖定目標市集: 駭客將目標鎖定在 3 個最大的俄文暗網市集。這再次印證了他們對俄語系暗網生態的熟悉,能夠精準打擊高價值的目標。
- 變更錢包地址: 當受害者在這些暗網市集進行加密貨幣交易時,這個惡意 JavaScript 酬載會立即啟動。它能夠變更加密貨幣交易服務 QIWI 或網頁上所呈現的加密貨幣錢包位址,將受害者原本打算存入市集的比特幣,偷偷地轉移到駭客所掌控的 3 個帳戶中。整個過程神不知鬼不覺,受害者往往在交易完成後才發現資金不翼而飛。
驚人的獲利:數年積累的比特幣黑金
ESET 的追蹤顯示,駭客的兩個偽造 Tor Browser 官網早在 2014 年就已成立,而他們開始使用惡意瀏覽器竊取比特幣的活動則始於 2017 年。從那時起,駭客的加密錢包已累積了約 4.8 個比特幣,總價值超過 4 萬美元。
值得注意的是,這 4 萬美元的數字只是基於 ESET 追蹤到的加密錢包在特定時間點的價值。如果考慮到比特幣價格在不同時間點的波動,以及駭客可能擁有的其他未被發現的錢包或交易記錄,ESET 相信駭客的不法所得遠超此一數字。這也凸顯了加密貨幣盜竊的潛在巨大利潤,吸引著越來越多的駭客投身其中。
慘痛的教訓:下載軟體務必謹慎
這起駭客利用假冒 Tor Browser 進行比特幣竊盜的事件,再次給所有網路使用者敲響了警鐘。它以血淋淋的事實提醒我們:在網路世界中,任何軟體的下載都必須保持高度警惕。
最終的防範建議非常簡單,卻極為重要:下載任何軟體,最好都自己搜尋官方網站,而不要輕信各式網站上所張貼的連結。 駭客往往利用搜索引擎優化、社交媒體推廣或地下論壇的影響力,將偽造的下載連結置於顯眼位置。只有直接訪問官方網站,才能確保下載的軟體是真實、未被篡改的。
Tor Browser 雖然為用戶提供了匿名瀏覽的工具,但其本身也可能成為駭客攻擊的誘餌。在追求網路自由與匿名的同時,用戶更應加強自身資安意識,不給駭客留下任何可乘之機。每一次點擊、每一次下載,都可能隱藏著看不見的風險。