网络黑吃黑大戏开演：罪犯借 Tor 代理转移比特币赎金

随着比特币等虚拟货币价格不断攀升，眼馋的黑客们也制造了一波又一波的骚操作、神走位，通过盗币大发横财。就曾盘点过8大奇葩挖矿木马的敛财之道以及在代币蛋糕上，黑产从业者是如何操作的，发文吃鸡、蹭网、看片片，揭秘8 大奇葩挖矿木马敛财之道；谁动了我的金矿：深扒黑产挖矿进阶之路。

而最近，Proofpoint 的 IT安全研究人员发现了一种全新类型的欺诈方式，网络罪犯居然玩起了大鱼吃小鱼，小鱼吃虾米的游戏，简单来说，他们偷的是自己同行的钱。

也就是说，网络罪犯（大鱼）会利用 Tor 代理窃取其他网络犯罪组织（小鱼）“辛辛苦苦”通过勒索软件攻击抢来的比特币。发现，在攻击时，一些 Tor代理的拥有者通过替换比特币支付地址，将受害者钱包中的比特币转移支付偷到自己名下。

“网络黑吃黑”

这种新的“抢钱”之道与勒索软件攻击已成常态分不开。

在通过勒索软件发动攻击时，黑客会用病毒软件感染未知用户的电脑系统，锁住他们的数据并索要赎金。这里黑客勒索的比特币/门罗币赎金会通过 Tor 浏览器或 Tor代理网站支付。

当然不是所有人都精通 Tor，为了要回资料，受害者们只能按黑客的要求乖乖通过 Tor 代理付款。但多数人不知道的是，这些 Tor代理其实都是网络管理者们个人拥有的，他们自然而然就成了中间人，有权利盯着用户在 Tor 代理上的一举一动。

Proofpoint 的安全研究人员发现，Onion.top网站的代理拥有者就对用于支付和转移比特币的网页交通源进行了修改，这就意味着花钱买解锁密匙的受害者的比特币没有进到发动勒索软件攻击的黑客腰包，而是进了 Tor代理拥有者的口袋。这样一来，他们更是拿不回自己宝贵的资料了。

Proofpoint 指出，“显然，这是 Tor 代理拥有者们最新的阴谋。”

研究人员是如何挖掘出这种新型骗局的？

研究人员第一次发现这种诡计是在 LockeR（一种勒索软件）上，他们发现支付入口警告用户不要使用 onion.top 的代理来交赎金。

“不要使用 onion.top，它们会将支付地址替换成自己的并盗走比特币。确保自己使用 Tor 浏览器将比特币转到正确的地址。”警告中写道。

支付入口的警告

发现，随后，研究人员又在 Tor 和 Onion.top 上测试了 Globelmposter 和 Sigma勒索软件。他们每次都发现了两个不同的比特币地址。

举例来说，Tor 浏览器会显示正确的比特币支付地址，而 Onion.top 则会给出不同的地址。不过，无论是 Globelmposter 还是Sigma，Onion.top 给出的都是相同地址。显然，Onion.top 的代理拥有者正在用这个地址搞“黑吃黑”。

左侧 Tor 浏览器与右侧 Onion.top 的支付地址不同

盗窃额只有 2 万多美元

对支付地址进行分析后，Proofpoint 发现这个地址已经收到了价值 20154美元的比特币，至于网络罪犯们有没有其他地址，涉案金额到底有多大，受害者都是谁，暂时还是个未知数。

虽然这些 Tor 代理的管理者就是想骗钱，但它们并非在每笔勒索病毒交易中都替换地址。在测试中，研究人员发现 Tor 代理管理者并没有更换 BitPaymer勒索病毒的支付地址，而发起病毒攻击的黑客已经发现了这个小伎俩并试图利用“用户教育”和技术解决方案来减轻损失。

威胁日益严重

虽然 Onion.top的管理者只偷了两万美金的比特币，但研究人员相信这种诡计带来的威胁会日益严重，最终让勒索病毒的受害者对支付赎金换取数据彻底死心。知道了这种方法后，恐怕许多居心不良的Tor 代理拥有者也会依葫芦画瓢。

“这种新型的偷币手段还会影响其他虚拟货币大盗们的饭碗。持续动荡的加密货币市场和人们对 Tor 网络快速升温的兴趣会让 Tor代理滥用问题更加严重，增加新用户的风险。”研究人员总结道。

VIAhackread