螳螂捕蝉黄雀后，勒索比特币通过.onion域名转账

Proofpoint 研究人员跟踪了一个以前未报告的威胁，并发现代理运营商正在使用 Tor 代理 onion[.]top 来窃取比特币。 代理运营商正在秘密地将勒索受害者的比特币赎金付款转移到他们自己的比特币钱包，从而影响勒索受害者和勒索软件攻击者。 这种方法用《庄子·山目》中的“螳螂捕蝉，黄雀在后”来形容再恰当不过了。

背景：Tor 代理

在许多恶意勒索案件中，攻击者向受害者提出支付请求，受害者必须访问 Tor .onion 网站将赎金支付到特定的比特币地址。 由于大多数用户通常没有安装 Tor 浏览器，他们可能会使用 Tor 代理，这在一些赎金记录中也有建议。 Tor 代理是将 Tor 流量转换为正常网络流量的网站，这使网站运营商有权充当中间人并不受限制地替换内容。

Tor 代理易于使用。 用户一般只需要在onionURL后面加上一个扩展名，比如.to.cab，它就会成为一个可以在普通浏览器中使用的链接。 例如访问hxxps://robusttldkxiuqc6[.]onion/，用户需要使用Tor浏览器，或者在任何浏览器上访问hxxps://robusttldkxiuqc6[.]onion[.]to/。

储物柜R

许多代理提供商使用 onion[.]top 代理。 首次发现这种威胁行为是在恶意勒索软件LockerR的勒索信息中，如图所示。

研究人员也曾发布过类似的攻击报告，如Evrial信息窃取木马监控Windows剪贴板中的比特币支付地址（包括用Steam支付的字符串），并将剪贴板中的地址更改为攻击者自己的地址。

LockerR于2017年10月首次被发现，近期通过RIG-v漏洞利用工具包传播，通过对比其支付网站在Tor浏览器和.top的Tor代理中显示的信息，发现onion.top访问的位。 币种支付地址已更换（如图）。 可以看出，通过 Tor 访问的地址是正确的，因为它向所有受害者显示了相同的地址。 相比之下，那些通过 .topTor 代理访问的是不一致的。

全球冒名顶替者

对于GlobeImposter的收款地址比特币转移，两种方式查看到的地址也是不一样的。

西格玛勒索软件

测试用的Sigma勒索软件也被替换，发现地址和GlobeImposter中替换的一样（1Q64uWnKMUoZ6G7BSrH77xdrewMou2zGpU）。

已转移的比特币数量

研究人员检查了备用比特币地址，以确定操作员可能窃取了多少比特币。 下图显示，两个比特币地址被盗金额分别约为0.15 BTC和1.82 BTC。 对于其他未显示的比特币地址，研究人员并不清楚究竟有多少比特币被盗。

最后说明

.onion.top并没有尝试重定向所有勒索软件变种，BitPaymer勒索软件的比特币地址在测试中也没有发生变化。 专业的勒索软件开发者也意识到了这个问题，他们试图通过“用户教育”和技术手段来阻止这种行为。 与LockerR一样，攻击者删除了赎金字条中的.top链接，并特意用红色文字警告受害者。

Magniber 恶意软件将比特币地址分成四个部分，并将它们放在 HTML 源代码中，使代理更难检测到比特币地址。

GlobeImposter 勒索软件要求用户使用 Tor 浏览器并向受害者隐藏 .onion 支付地址。 它不再在赎金记录文件中提供链接，而是混淆了提示文件中的地址。 用户单击按钮后恢复混乱。

总结

onion.top 的运营商并没有窃取大量比特币，此类活动破坏了攻击者与受害者之间的信任关系比特币转移，并影响那些试图支付赎金以解密其文件的人。 这也给实施赎金攻击获取利益的攻击者带来了头痛，降低了受害者支付赎金的意愿，进而降低了攻击者的收益。 这反映了加密货币盗窃的所有趋势、加密货币市场的持续不稳定以及对 Tor 网络的兴趣增加。 它还可能加剧 Tor 的滥用，为新用户带来额外的风险。

攻击指标 (IOC)

| 国际奥委会| 国际奥委会类型|描述|| —- | —- | —- || 7cf39ebb4409b13a7c153abff6661cc4d28d8d7109543d6419438ac9f2f1be57 | SHA256 | LockeR 勒索软件 || lockerrwhuaf2jjx[.]洋葱 | 域名 | LockeR 勒索软件 C&C || ae0d28e8d57329866624ec6cf63b9609fe9e685200029d3aa207eda67747fcd7 | SHA256 | GlobeImposter 勒索软件 || bcwfga5ssxh3jrlp。 洋葱 | 域名 | GlobeImposter 勒索软件 C&C || 8f66bb494b3fc3063b18a18a51c7b85da90dc1bb429ded21e7dbb02b404d3831 | SHA256 | 西格玛勒索软件 || yowl2ugopitfzzwb[.]洋葱 | 域名 | Sigma 勒索软件 C&C || 洋葱[.]顶部|46.246.120.179 | 域名|IP | 洋葱 [.]top Tor 网关 |