随着比特币等虚拟货币价格不断攀升,眼馋的黑客们也制造了一波又一波的骚操作、神走位,通过盗币大发。宅客频道就曾盘点过8大奇葩挖矿木马的之道以及在代币蛋糕上,黑产从业者是如何操作的,发文
而最近,Proofpoint的 IT安全研究人员发现了一种全新类型的欺诈方式,网络罪犯居然玩起了大鱼吃小鱼,小鱼吃虾米的游戏,简单来说,他们偷的是自己同行的钱。
也就是说,网络罪犯(大鱼)会利用Tor代理窃取其他网络犯罪组织(小鱼)“辛辛苦苦”通过软件抢来的比特币。在时,一些 Tor代理的拥有者通过替换比特币支付地址,将者钱包中的比特币转移支付偷到自己名下。
在通过软件发动时,黑客会用病毒软件感染未知用户的电脑系统,锁住他们的数据并索要赎金。这里黑客的比特币/门罗币赎金会通过 Tor浏览器或 Tor代理网站支付。
当然不是所有人都精通 Tor,为了要回资料,者们只能按黑客的要求乖乖通过 Tor代理付款。但多数人不知道的是,这些 Tor代理其实都是网络管理者们个人拥有的,他们自然而然就成了中间人,有盯着用户在 Tor代理上的一举一动。
Proofpoint的安全研究人员发现,站的代理拥有者就对用于支付和转移比特币的网页交通源进行了修改,这就意味着花钱买解锁密匙的者的比特币没有进到发动软件的黑客腰包,而是进了 Tor代理拥有者的口袋。这样一来,他们更是拿不回自己宝贵的资料了。
研究人员第一次发现这种是在LockeR(一种软件)上,他们发现支付入口用户不要使用 onion.top的代理来交赎金。
“不要使用 onion.top,它们会将支付地址替换成自己的并盗走比特币。确保自己使用 Tor浏览器将比特币转到正确的地址。”中写道。
随后,研究人员又在 Tor和测试了 Globelmposter和 Sigma软件。他们每次都发现了两个不同的比特币地址。
举例来说,Tor浏览器会显示正确的比特币支付地址,而 Onion.top则会给出不同的地址。不过,无论是 Globelmposter还是 Sigma,Onion.top给出的都是相同地址。显然,Onion.top的代理拥有者正在用这个地址搞“黑吃黑”。
对支付地址进行分析后,Proofpoint发现这个地址已经收到了价值 20154美元的比特币,至于网络罪犯们有没有其他地址,涉案金额到底有多大,者都是谁,暂时还是个未知数。
虽然这些 Tor代理的管理者就是想骗钱,但它们并非在每笔病毒交易中都替换地址。在测试中,研究人员发现 Tor代理管理者并没有更换 BitPaymer病毒的支付地址,而发起病毒的黑客已经发现了这个小并试图利用“用户教育”和技术解决方案来减轻损失。
虽然 Onion.top的管理者只偷了两万美金的比特币,但研究人员相信这种带来的会日益严重,最终让病毒的者对支付赎金换取数据彻底。知道了这种方法后,恐怕许多不良的 Tor代理拥有者也会依葫芦画瓢。
“这种新型的偷币手段还会影响其他虚拟货币大盗们的饭碗。持续动荡的加密货币市场和人们对 Tor网络快速升温的兴趣会让Tor代理问题更加严重,增加新用户的风险。”研究人员总结道。