隨著比特幣等虛擬貨幣價格不斷攀升,眼饞的黑客們也制造了一波又一波的騷操作、神走位,通過盜幣大發(fā)橫財。雷鋒網(wǎng)(公眾號:雷鋒網(wǎng))就曾盤點過 8 大奇葩挖礦木馬的斂財之道以及在代幣蛋糕上,黑產(chǎn)從業(yè)者是如何操作的,發(fā)文吃雞、蹭網(wǎng)、看片片,揭秘 8 大奇葩挖礦木馬斂財之道;誰動了我的金礦:深扒黑產(chǎn)挖礦進(jìn)階之路。
而最近,Proofpoint 的 IT 安全研究人員發(fā)現(xiàn)了一種全新類型的欺詐方式,網(wǎng)絡(luò)罪犯居然玩起了大魚吃小魚,小魚吃蝦米的游戲,簡單來說,他們偷的是自己同行的錢。
也就是說,網(wǎng)絡(luò)罪犯(大魚)會利用 Tor 代理竊取其他網(wǎng)絡(luò)犯罪組織(小魚)“辛辛苦苦”通過勒索軟件攻擊搶來的比特幣。雷鋒網(wǎng)發(fā)現(xiàn),在攻擊時,一些 Tor 代理的擁有者通過替換比特幣支付地址,將受害者錢包中的比特幣轉(zhuǎn)移支付偷到自己名下。
“網(wǎng)絡(luò)黑吃黑”
這種新的“搶錢”之道與勒索軟件攻擊已成常態(tài)分不開。
在通過勒索軟件發(fā)動攻擊時,黑客會用病毒軟件感染未知用戶的電腦系統(tǒng),鎖住他們的數(shù)據(jù)并索要贖金。這里黑客勒索的比特幣/門羅幣贖金會通過 Tor 瀏覽器或 Tor 代理網(wǎng)站支付。
當(dāng)然不是所有人都精通 Tor,為了要回資料,受害者們只能按黑客的要求乖乖通過 Tor 代理付款。但多數(shù)人不知道的是,這些 Tor 代理其實都是網(wǎng)絡(luò)管理者們個人擁有的,他們自然而然就成了中間人,有權(quán)利盯著用戶在 Tor 代理上的一舉一動。
Proofpoint 的安全研究人員發(fā)現(xiàn),Onion.top 網(wǎng)站的代理擁有者就對用于支付和轉(zhuǎn)移比特幣的網(wǎng)頁交通源進(jìn)行了修改,這就意味著花錢買解鎖密匙的受害者的比特幣沒有進(jìn)到發(fā)動勒索軟件攻擊的黑客腰包,而是進(jìn)了 Tor 代理擁有者的口袋。這樣一來,他們更是拿不回自己寶貴的資料了。
Proofpoint 指出,“顯然,這是 Tor 代理擁有者們最新的陰謀。”
研究人員是如何挖掘出這種新型騙局的?
研究人員第一次發(fā)現(xiàn)這種詭計是在 LockeR(一種勒索軟件)上,他們發(fā)現(xiàn)支付入口警告用戶不要使用 onion.top 的代理來交贖金。
“不要使用 onion.top,它們會將支付地址替換成自己的并盜走比特幣。確保自己使用 Tor 瀏覽器將比特幣轉(zhuǎn)到正確的地址。”警告中寫道。
支付入口的警告
雷鋒網(wǎng)發(fā)現(xiàn),隨后,研究人員又在 Tor 和 Onion.top 上測試了 Globelmposter 和 Sigma 勒索軟件。他們每次都發(fā)現(xiàn)了兩個不同的比特幣地址。
舉例來說,Tor 瀏覽器會顯示正確的比特幣支付地址,而 Onion.top 則會給出不同的地址。不過,無論是 Globelmposter 還是 Sigma,Onion.top 給出的都是相同地址。顯然,Onion.top 的代理擁有者正在用這個地址搞“黑吃黑”。
左側(cè) Tor 瀏覽器與右側(cè) Onion.top 的支付地址不同
盜竊額只有 2 萬多美元
對支付地址進(jìn)行分析后,Proofpoint 發(fā)現(xiàn)這個地址已經(jīng)收到了價值 20154 美元的比特幣,至于網(wǎng)絡(luò)罪犯們有沒有其他地址,涉案金額到底有多大,受害者都是誰,暫時還是個未知數(shù)。
雖然這些 Tor 代理的管理者就是想騙錢,但它們并非在每筆勒索病毒交易中都替換地址。在測試中,研究人員發(fā)現(xiàn) Tor 代理管理者并沒有更換 BitPaymer 勒索病毒的支付地址,而發(fā)起病毒攻擊的黑客已經(jīng)發(fā)現(xiàn)了這個小伎倆并試圖利用“用戶教育”和技術(shù)解決方案來減輕損失。
威脅日益嚴(yán)重
雖然 Onion.top 的管理者只偷了兩萬美金的比特幣,但研究人員相信這種詭計帶來的威脅會日益嚴(yán)重,最終讓勒索病毒的受害者對支付贖金換取數(shù)據(jù)徹底死心。知道了這種方法后,恐怕許多居心不良的 Tor 代理擁有者也會依葫蘆畫瓢。
“這種新型的偷幣手段還會影響其他虛擬貨幣大盜們的飯碗。持續(xù)動蕩的加密貨幣市場和人們對 Tor 網(wǎng)絡(luò)快速升溫的興趣會讓 Tor 代理濫用問題更加嚴(yán)重,增加新用戶的風(fēng)險。”研究人員總結(jié)道。
雷鋒網(wǎng)VIAhackread