Tor代理通过替换比特币地址将勒索赎金归为己有

近日，Proofpoint的安全研究人员发现了一种新的窃取他人比特币的方法，即利用Tor代理（onion[.]top）来窃取比特币。据了解，该代理运营商通过修改用于支付的网页来源，偷偷地将由勒索软件作者控制的比特币地址换成自己的比特币钱包地址。

大部分勒索软件都会要求受害者向其支付一定的赎金，而想要完成支付受害者往往需要访问Tor.onion类型的网站。由于大多数用户通常都没有安装Tor浏览器，因此他们可能会使用Tor代理，一些勒索软件在勒索提示信息中也会建议受害者使用Tor代理。Tor代理是将Tor流量转换为正常网络流量的常规网站。然而，使用Tor代理并不安全。由于Tor代理运营商掌控着代理服务器的所有权，因此所有的网页来源都有可能被运营商拦截和替换。

Tor代理的使用也非常简单。用户只需在nion URL后添加一个简单的扩展后缀，即可实现在普通常规浏览器中的洋葱访问。例如访问：hxxps://robusttldkxiuqc6[.]onion/，使用Tor代理就可以在任何浏览器中以该格式访问：hxxps://robusttldkxiuqc6[.]onion[.]to/。

通过谷歌搜索关键字“Tor gateway”或“Tor Proxy” ，可以找到许多关于Tor的代理服务。从搜索结果可以看到onion[.]top代理排在了第一位，这也是最受欢迎的提供商之一。要使用他们的服务，用户只需在.onion URL后添加.top扩展名即可。

Proofpoint的安全研究人员最初是在一款名为LockeR的勒索软件支付信息上，发现该比特币偷盗方法的。LockeR勒索软件的作者在其支付界面敦促受害者不要使用onion.top支付他们的赎金（如图）。

在不久前安全研究人员已经发现了一种具有类似行为的Evrial木马。该木马可以监视Windows中某些文本的剪贴板，并替换剪贴板内容盗取用户信息，特别是加密货币和Steam交易的支付地址和URL。

LockeR是在去年10月份被披露的。我们比较了通过Tor浏览器和.top Tor代理浏览过的同一个LockerR支付网站，结果正如我们所预期的，通过onion.top访问的页面中比特币地址已被替换（如图）。

在上图的左侧，Tor浏览器显示的比特币地址为LockeR的正确支付地址，而在右侧通过.top Tor代理显示的支付地址则为代理商替换地址。 

此外，我们测试了另一款流行的勒索软件GlobeImposter。

同样从上图对比我们可以看到，Tor浏览器显示的比特币地址为GlobeImposter的正确支付地址，而在右侧通过.top Tor代理显示的支付地址则为代理商替换地址。仔细观察你会发现，此时的替换地址与LockerR的替换地址并不相同。

最后，我们还测试了Sigma勒索软件。

最终测试结果也毫无例外是相同的。不过有趣的是我们发现Sigma被替换的地址与GlobeImposter是相同的(1Q64uWnKMUoZ6G7BSrH77xdrewMou2zGpU)。