Tor代理服务上演“黄雀在后” 半路截取勒索软件赎金

最近，至少有一家Tor代理服务运营商被发现使用自己的比特币钱包地址替换了网络犯罪分子用于收取勒索赎金的钱包地址，将勒索软件受害者支付的赎金转移到自己的钱包内。

这个“Tor代理服务”是一家第三方服务网站，允许用户访问托管在Tor网络上的.onion域名，而无需安装Tor浏览器。

用户可以在任何Tor网址末尾附加一个域名扩展名，例如.top、.cab或者.to，便能够通过类似于Firefox、Chrome、Vivaldi以及Edge等这样的常规浏览器直接访问暗网网站。

例如，用户通过输入“nytimes3xbfgragh[.]onion.to”就能够直接访问《纽约时报》的暗网门户，而无需通过Tor浏览器。

在过去的两年里，这种服务已经变得非常流行，尤其深受勒索软件运营团队的欢迎。

勒索软件通常会有一个勒索赎金，它会列出用于收取赎金的Tor网址，同时也包括通过各种Tor代理服务生成的替代网址，以防受害者因不知道如何安装Tor浏览器而无法进行赎金支付。

Tor代理服务Onion被发现暗自替换钱包地址

根据美国某网络安全公司的说法，他们已经抓住了这些Tor代理中的一个，从勒索软件运营团队和勒索软件受害者那里窃取赎金。

据研究人员介绍，Tor代理服务Onion.to正在暗中分析网站加载的暗网网页。如果它们看起来像是比特币钱包地址，便会用自己的钱包地址替换它们。

该网络安全公司表示，它注意到三个勒索软件家族的赎金支付门户网站上的比特币地址遭到了替换，这包括LockeR、Sigma和GlobeImposter。

实际上，研究人员表示，他们已经注意到LockeR的运营团队已经在其支付网站上公布了警告信息：“不要使用onion.to，他们使用自己的比特币钱包地址替换了我们的，并偷走比特币。为了确保你支付的是正确的地址，请使用Tor浏览器。”

约价值2.2万美元的比特币被半路截获

在实验中，研究人员根据受害者正在访问的页面发现了不同的比特币钱包地址替换规则。这表明，Onion.to团队正在根据每个站点手动配置这些替换规则。

现已确定了由Onion.to团队运营的两个比特币钱包地址，所持有的比特币都不超过2个（约价值2.2万美元）。这表明，Onion.to的“发财计划”实施得并没有那么顺利，替换规则并不总是活跃的，或者从一开始其服务就并不是那么受欢迎。

勒索软件运营团队正在实施“反击”行动

无论什么原因导致Onion.to团队没有获得预期的“大丰收”，该网络安全公司表示，勒索软件运营团队已经注意到了Onion.to的行动，并已开始采取预防措施。这并不仅仅针对Onion.to，也包括其他Tor代理服务。

最明显的变化是，勒索软件运营团队已经停止在勒索赎金中提供由Tor代理服务生成的替代网址，只列出用于收取赎金的Tor网址，并要求受害者只能通过Tor浏览器访问付款网站。

某些勒索软件运营团队还改变了在暗网托管的赎金支付网站。例如，MagniBear勒索软件的运营团队现在将支付网站上每个受害者的比特币地址分成不同的HTML标签。

这使得恶意Tor代理服务运营商更加难检测出比特币地址，但这并不是一个可靠的保护措施。为了避免赎金流向恶意的Tor代理服务，他们仍建议受害者通过Tor浏览器访问。

该网络安全公司表示，无论作为“螳螂”的勒索软件运营团队与作为“黄雀”的Tor代理服务运营商如何相争，作为弱势群体的“蝉”——普通计算机用户避免遭受勒索软件感染的最佳方法是不要打开任何未知来源的可疑文件，以及定期备份重要（或全部）文件。

来源：黑客视界