暗網,一個充滿匿名與自由但也潛藏危機的數位空間,是許多網路使用者探索的領域。然而,資安業者 ESET 近期披露的一起長期竊盜案,再次提醒我們,即使在追求匿名的世界裡,也可能遭遇最直接的財產損失。駭客集團利用偽造的 Tor Browser 瀏覽器,在暗網市集上竊取了數萬美元的比特幣。這場從 2017 年持續至今的「釣魚」行動,不僅揭示了駭客的狡猾與耐心,也為廣大網路用戶敲響了資安警鐘。
駭客的「長期主義」:七年磨一劍的比特幣竊盜行動
這起令人震驚的竊盜案並非一朝一夕。ESET 的調查顯示,駭客集團早在 2014 年就開始佈局,註冊了兩個與 Tor Browser 官方網站 torproject.org 極其相似的網址:tor-browser.org 和 torproect.org。這表明駭客從一開始就抱持著長期作戰的策略,為其後續的惡意活動埋下了伏筆。
這些偽造網站均以俄文呈現,並在各大地下論壇積極推廣,目的就是引導用戶下載被篡改的 Tor Browser。駭客首先將用戶導向 tor-browser.org,利用彈出警告訊息,聲稱用戶的瀏覽器已過期,誘導他們下載最新版本。接著,再將用戶引導至 torproect.org,看似提供「最新版」下載,實則暗藏玄機。
這種循序漸進的誘導方式,利用了用戶對軟體更新的普遍需求,以及對 Tor Browser 的信任,大大增加了其得手的機率。從 2017 年開始實施竊盜行為,到 ESET 發現並追蹤,駭客已在長達七年的時間裡持續獲利,這無疑是一個令人髮指的「長期主義」式網路犯罪。
惡意 Tor Browser 的核心詭計:篡改設定與注入惡意腳本
駭客所提供的「最新版」Tor Browser,實際上是基於 2018 年 1 月發布的 Tor Browser 7.5,但其中已被巧妙地植入了惡意程式碼,並對瀏覽器預設設定和擴充程式進行了多項關鍵篡改:
- 禁用更新機制: 惡意瀏覽器被設定為關閉所有自動更新。這使得駭客能夠長時間控制受害者的瀏覽器,確保其惡意功能不受官方更新的影響,持續發揮作用。
- 強制代理設置: 為了便於監控和操控受害者流量,駭客強制所有受害者使用同一個代理伺服器。這不僅方便了其流量分析,也為後續的錢包替換奠定了基礎。
- 繞過安全驗證: 惡意瀏覽器關閉了安裝擴充程式所需的數位簽章功能。這極大地降低了駭客注入惡意擴充程式或腳本的門檻,削弱了瀏覽器的自身防禦能力。
- 劫持 HTTPS Everywhere: 最為狡猾的一步,是駭客對知名的 HTTPS Everywhere 擴充程式動了手腳。這個旨在提升安全性的擴充程式,被惡意修改為允許載入和執行特定的 JavaScript 腳本程式。這種利用用戶對合法工具信任的行為,使得惡意腳本能夠在受害者毫無察覺的情況下執行。
這個被劫持的 JavaScript 腳本程式是整個竊盜鏈條的核心。它會悄悄地通知遠端伺服器受害者正在造訪的網頁,更為險惡的是,它還能下載額外的 JavaScript 酬載。這個酬載具備強大的操控能力,能夠抓取表單數據、隱藏或注入內容,甚至顯示偽造的訊息,為後續的比特幣竊盜提供了完美的操作環境。
直擊要害:鎖定俄羅斯暗網市集進行比特幣偷竊
駭客集團的最終目標,是加密貨幣——比特幣。他們精準地將攻擊目標鎖定在 3 個最大的俄文暗網市集。當受害者在這些市集上進行加密貨幣交易時,之前注入的惡意 JavaScript 酬載便會立即啟動。
該酬載的核心功能是「替換錢包位址」。無論受害者是使用 QIWI 支付服務,還是在網頁上直接呈現加密貨幣錢包位址,惡意腳本都能夠在交易確認前,將受害者輸入或頁面上顯示的錢包位址悄無聲息地替換為駭客所掌控的 3 個比特幣帳戶。這意味著,受害者支付的比特幣最終並未進入預期的市集錢包,而是直接流入了駭客的腰包。整個過程極為隱蔽,受害者往往在交易完成後,才會發現自己的資金不翼而飛。
ESET 的追蹤顯示,自 2017 年以來,駭客的加密錢包已經累積了約 4.8 個比特幣。儘管在 ESET 報告發布時,這筆比特幣的價值約為 4 萬美元,但考慮到比特幣價格在過去幾年的巨大波動,以及駭客可能擁有的其他未被發現的錢包,其總體不法所得相信遠超此一數字。這再次凸顯了加密貨幣盜竊的誘人「利潤」,吸引著駭客們不斷升級其攻擊手段。
給用戶的最後忠告:資安防範刻不容緩
這起利用假冒 Tor Browser 進行比特幣竊盜的事件,是網路世界中無數資安威脅的縮影。它再次用慘痛的教訓提醒所有網路使用者,無論身處何種網路環境,資安防範都必須成為首要考量。
ESET 在報告中發出的最終警告,簡單卻至關重要:「下載任何軟體最好自己搜尋官網,而不要輕信各式網站上所張貼的連結。」這是一個黃金法則:
- 直接訪問官網: 無論是 Tor Browser 還是其他任何軟體,永遠不要點擊來自社交媒體、論壇、廣告或其他可疑來源的下載連結。請手動在瀏覽器中輸入該軟體的官方網站網址,並從官方渠道進行下載。
- 警惕非官方版本: 任何聲稱是「破解版」、「優化版」或「特別版」的軟體都應高度警惕。它們極有可能被植入惡意程式。
- 保持軟體更新: 合法軟體的自動更新機制是重要的安全防線。它能確保你的軟體始終獲得最新的安全修復,抵禦已知漏洞。惡意軟體往往會禁用更新,以維持其控制。
- 使用資安工具: 安裝信譽良好的防毒軟體和惡意程式偵測工具,並定期更新病毒庫,對下載的檔案進行掃描。
在追求網路自由與匿名的同時,絕不能忽視最基本的資安原則。這起長達七年的比特幣竊盜案,以其複雜的欺騙手法和驚人的獲利,再次證明了網路世界潛藏的巨大風險。只有時刻保持警惕,才能在數位時代中保護好自己的財產與隱私。