網(wǎng)絡(luò)黑吃黑大戲開演：罪犯借 Tor 代理轉(zhuǎn)移比特幣贖金

本文作者：大壯旅

編輯：田馨

2018-02-01 18:50

導(dǎo)語：網(wǎng)絡(luò)罪犯們都開始搞黑吃黑了。

隨著比特幣等虛擬貨幣價格不斷攀升，眼饞的黑客們也制造了一波又一波的騷操作、神走位，通過盜幣大發(fā)橫財。雷鋒網(wǎng)就曾盤點過8大奇葩挖礦木馬的斂財之道以及在代幣蛋糕上，黑產(chǎn)從業(yè)者是如何操作的，發(fā)文吃雞、蹭網(wǎng)、看片片，揭秘 8 大奇葩挖礦木馬斂財之道；誰動了我的金礦：深扒黑產(chǎn)挖礦進階之路。

而最近，Proofpoint 的 IT 安全研究人員發(fā)現(xiàn)了一種全新類型的欺詐方式，網(wǎng)絡(luò)罪犯居然玩起了大魚吃小魚，小魚吃蝦米的游戲，簡單來說，他們偷的是自己同行的錢。

也就是說，網(wǎng)絡(luò)罪犯（大魚）會利用 Tor 代理竊取其他網(wǎng)絡(luò)犯罪組織（小魚）“辛辛苦苦”通過勒索軟件攻擊搶來的比特幣。雷鋒網(wǎng)發(fā)現(xiàn)，在攻擊時，一些 Tor 代理的擁有者通過替換比特幣支付地址，將受害者錢包中的比特幣轉(zhuǎn)移支付偷到自己名下。

“網(wǎng)絡(luò)黑吃黑”

這種新的“搶錢”之道與勒索軟件攻擊已成常態(tài)分不開。

在通過勒索軟件發(fā)動攻擊時，黑客會用病毒軟件感染未知用戶的電腦系統(tǒng)，鎖住他們的數(shù)據(jù)并索要贖金。這里黑客勒索的比特幣/門羅幣贖金會通過 Tor 瀏覽器或 Tor 代理網(wǎng)站支付。

當(dāng)然不是所有人都精通 Tor，為了要回資料，受害者們只能按黑客的要求乖乖通過 Tor 代理付款。但多數(shù)人不知道的是，這些 Tor 代理其實都是網(wǎng)絡(luò)管理者們個人擁有的，他們自然而然就成了中間人，有權(quán)利盯著用戶在 Tor 代理上的一舉一動。

Proofpoint 的安全研究人員發(fā)現(xiàn)，Onion.top 網(wǎng)站的代理擁有者就對用于支付和轉(zhuǎn)移比特幣的網(wǎng)頁交通源進行了修改，這就意味著花錢買解鎖密匙的受害者的比特幣沒有進到發(fā)動勒索軟件攻擊的黑客腰包，而是進了 Tor 代理擁有者的口袋。這樣一來，他們更是拿不回自己寶貴的資料了。

Proofpoint 指出，“顯然，這是 Tor 代理擁有者們最新的陰謀?！?/p>

研究人員是如何挖掘出這種新型騙局的？

研究人員第一次發(fā)現(xiàn)這種詭計是在 LockeR（一種勒索軟件）上，他們發(fā)現(xiàn)支付入口警告用戶不要使用 onion.top 的代理來交贖金。

“不要使用 onion.top，它們會將支付地址替換成自己的并盜走比特幣。確保自己使用 Tor 瀏覽器將比特幣轉(zhuǎn)到正確的地址。”警告中寫道。

網(wǎng)絡(luò)黑吃黑大戲開演：罪犯借 Tor 代理轉(zhuǎn)移比特幣贖金 支付入口的警告

雷鋒網(wǎng)發(fā)現(xiàn)，隨后，研究人員又在 Tor 和 Onion.top 上測試了 Globelmposter 和 Sigma 勒索軟件。他們每次都發(fā)現(xiàn)了兩個不同的比特幣地址。

舉例來說，Tor 瀏覽器會顯示正確的比特幣支付地址，而 Onion.top 則會給出不同的地址。不過，無論是 Globelmposter 還是 Sigma，Onion.top 給出的都是相同地址。顯然，Onion.top 的代理擁有者正在用這個地址搞“黑吃黑”。

網(wǎng)絡(luò)黑吃黑大戲開演：罪犯借 Tor 代理轉(zhuǎn)移比特幣贖金 左側(cè) Tor 瀏覽器與右側(cè) Onion.top 的支付地址不同

盜竊額只有 2 萬多美元

對支付地址進行分析后，Proofpoint 發(fā)現(xiàn)這個地址已經(jīng)收到了價值 20154 美元的比特幣，至于網(wǎng)絡(luò)罪犯們有沒有其他地址，涉案金額到底有多大，受害者都是誰，暫時還是個未知數(shù)。

雖然這些 Tor 代理的管理者就是想騙錢，但它們并非在每筆勒索病毒交易中都替換地址。在測試中，研究人員發(fā)現(xiàn) Tor 代理管理者并沒有更換 BitPaymer 勒索病毒的支付地址，而發(fā)起病毒攻擊的黑客已經(jīng)發(fā)現(xiàn)了這個小伎倆并試圖利用“用戶教育”和技術(shù)解決方案來減輕損失。