Angripare i farten ersätter bitcoin-plånböcker i användarnas webbläsare för att fånga upp pengarna som skickas.
En okänd cyberkriminell grupp lade till servrar till Tor-nätverket för att utföra en SSL-strippingsattack på användare av Tor-webbläsaren som genomför transaktioner med kryptovalutor. Deras uppgift var att ersätta BTC-måladresser direkt i trafiken och därigenom beröva deras offer digital valuta.
Cyberkriminella började sin verksamhet i januari 2020 och kontrollerade i maj 2020 en fjärdedel av alla utgångsnoder i Tor-nätverket (23,95 % eller 380 stycken). Genom dessa servrar lämnar användartrafiken Tor-nätverket och går in på det öppna Internet.
Operationens omfattning är svår att avgöra, enligt säkerhetsforskaren Nusenu, men han kunde identifiera nästan fyrahundra skadliga utgångsnoder som var under kontroll av angripare när insatsen var som mest.
Genom att manipulera trafik som passerar genom kontrollerade Tor-utgångsnoder, använde angriparna en man-in-the-middle (MITM)-attackteknik på Tor-webbläsare. I synnerhet var de intresserade av besökare på sajter relaterade till kryptovalutor.
För att vara mer exakt utförde cyberbrottslingar den så kallade SSL-strippen – de rullade tillbaka användarnas HTTPS-trafik till mindre säker HTTP. Som Nusenu förklarade var målet för angriparna att ersätta bitcoin-adresser i HTTP-trafik som skickades till bitcoin-mixers (tjänster för anonymisering av kryptovalutatransaktioner). Genom att ändra bitcoin-adresser på nivån för HTTP-trafik lyckades cyberbrottslingar fånga upp kryptovalutan utan att dess ägare märkte det.
Med hjälp av en teknik som kallas "SSL-stripping" bytte angriparna ut användarnas krypterade HTTPS-trafik mot okrypterad HTTP, så att de fritt kunde analysera och modifiera den avlyssnade informationen som de ansåg lämpligt innan den lämnade Tor-nätverket. Därmed fick de möjlighet att söka efter Bitcoin-plånboksadresser i användartrafik, och sedan ersätta dem med sina egna.
Som ett resultat av attacken kan en Tor Browser-användare, när han försöker överföra pengar från sin Bitcoin-plånbok till en annan Bitcoin-plånbok, enkelt ge pengarna till bedragare.
I juni i år genomförde operatörerna av Tor-nätverket en "rensning", vilket avsevärt försvagade angriparnas attackkraft. De lyckades avsevärt minska inkräktarnas inflytande, men mer än 10 % av nätverkstrafiken förblir under deras kontroll.