假冒的Tor Browser到暗網偷竊比特幣

資安業者ESET本周警告，駭客在各大地下論壇推銷專門用來造訪暗網的Tor Browser瀏覽器，卻在該瀏覽器中動了手腳，當受害者造訪俄羅斯暗網市集並執行交易時，便偷偷地把市集中的加密貨幣錢包換成駭客的錢包，從2017年到現在，總計竊取了4.8個比特幣，獲利約4萬美元。

根據ESET的調查，駭客申請了兩個類似Tor官網的網址：tor-browser.org與torproect.org，這兩個網站都是採用俄文，並在地下論壇裡推銷Tor瀏覽器的優點，再將使用者導向tor-browser.org，在該網站上警告使用者的瀏覽器過期了，應該要下載最新的版本，再引導使用者至torproect.org下載。

然而，torproect.org所存放的Tor瀏覽器，是2018年1月所釋出的Tor Browser 7.5，這個有毒的瀏覽器以標準的Tor瀏覽器為基礎，但竄改了一些瀏覽器的預設設定與擴充程式，例如關閉了所有的更新；讓所有受害者都使用同樣的代理人；關閉安裝擴充程式所要求的數位簽章功能；還變更HTTPS Everywhere擴充程式的設定，以允許載入與執行特定的腳本程式。

該腳本程式可通知遠端伺服器有關使用者正在造訪的網頁，還能下載額外的JavaScript酬載，此一酬載則能抓取表單、隱藏或注射內容，還能顯示偽造的訊息。

駭客鎖定了3個最大的俄文暗網市集，以該JavaScript酬載變更加密貨幣交易服務QIWI或網頁上所呈現的加密貨幣錢包的位址，將受害者所存入的比特幣轉到駭客所掌控的3個帳號中。

兩個偽造的Tor官網是在2014年就成立了，而駭客的加密錢包則是在2017年申請，ESET追蹤發現駭客的加密錢包已經累積了價值超過4萬美元的4.8個比特幣，但若從其它的時間點來看，相信駭客的不法所得超過此一數字。

總之，有許多案例都在提醒使用者，下載任何軟體最好自己搜尋官網，而不要輕信各式網站上所張貼的連結。