假冒Tor浏览器正从暗网访客的钱包中偷取比特币

假冒Tor浏览器通过篡改设置和注入恶意脚本，窃取暗网访客的比特币钱包地址，已导致超过4万美元损失。 以下是具体分析：恶意域名与传播方式仿冒域名：犯罪分子使用tor-browser.org和torproect.org（模仿官方域名torproject.org）传播假冒Tor浏览器。其中torproect.org利用西里尔字母的视觉相似性欺骗俄罗斯用户。传播渠道：通过俄罗斯论坛、暗网市场、加密货币相关讨论区发布垃圾信息推广。利用pastebin.com创建多个账户，发布包含敏感词（如毒品、绕过审查、俄罗斯政客姓名）的文章，提升搜索排名以吸引目标用户。宣称浏览器具备“反验证码功能”等虚假特性诱导下载。图：仿冒域名诱导用户点击“Update Tor Browser”按钮恶意软件技术分析基础架构：基于Tor Browser 7.5（2018年1月发布）构建，未修改官方二进制文件，但篡改了默认设置和扩展：阻止更新：将更新工具updater.exe重命名为updater.exe0，防止用户升级至最新版本使木马失效。唯一User-Agent：强制所有受害者使用固定标识Mozilla/5.0 (Windows NT 6.1; rv:77777.0) Gecko/20100101 Firefox/52.0，便于服务器识别中招用户。禁用插件签名检查：修改xpinstall.signatures.required设置，允许攻击者加载未签名的恶意插件。核心攻击手段：篡改HTTPS Everywhere插件：在manifest.json中注入script.js脚本，该脚本会：通知犯罪分子服务器用户访问的网页地址。下载并执行恶意JS脚本，抓取表单操作、注入恶意内容或显示虚假消息。隐蔽性：由于脚本在Tor浏览器内运行，无法获取用户真实IP地址，但可监控所有交互行为。图：恶意脚本通过HTTPS Everywhere插件加载并执行目标与损失攻击目标：主要针对俄语暗网市场，尤其是比特币钱包地址替换攻击：当用户访问个人资料页面时，木马自动将原始钱包地址替换为犯罪分子的地址。调查发现3个比特币钱包涉及此活动，截至2019年10月共收到4.8个比特币（约4万美元），且存在大量小额交易以规避追踪。除比特币外，木马还篡改QIWI电子钱包账户，实际损失可能更高。图：犯罪分子使用的比特币钱包交易记录防范建议验证域名：仅从官方域名torproject.org下载浏览器，警惕拼写错误或非官方域名。检查更新机制：官方Tor浏览器更新工具名为updater.exe，若发现异常命名（如updater.exe0）需立即卸载。监控钱包活动：暗网用户应定期核对钱包地址，避免使用同一地址进行多次交易。使用安全工具：结合反病毒软件和网络流量监控工具，检测异常User-Agent或插件行为。此次攻击表明，暗网用户面临的不只是数据泄露风险，更直接的经济损失需引起高度重视。