Прокси-сервис для доступа к Tor уличен в подмене адресов биткойн-кошельков

Прокси-сервис для доступа к Tor уличен в подмене адресов биткойн-кошельков

Сервис тайно анализировал загружаемые через портал web-страницы на предмет строк, выглядящих как адреса биткойн-кошельков.

Операторы по меньшей мере одного сервиса, позволяющего получить доступ к сети Tor из обычного браузера, были уличены в замене адресов биткойн-кошельков на вымогательских сайтах. Об этом сообщили исследователи безопасности из компании Proofpoint.

Прокси-сервисы для доступа к сети Tor представляют собой web-сайты, позволяющие пользователям получать доступ к доменам .onion, размещенным в сети Tor, без необходимости устанавливать браузер Tor. Пользователи могут добавить расширение домена, например .top, .cab, .to в конце любого URL-адреса Tor и получать доступ к нему из обычного браузера, такого как Firefox, Chrome, Vivaldi, Edge и пр. За последние два года данные сервисы приобрели чрезвычайную популярность, особенно среди авторов вымогательского ПО. Программы-вымогатели как правило включают в себя сообщения о выкупе, в которых перечислены URL-адреса в сети Tor для его оплаты, а также альтернативные адреса различных прокси-сервисов.

По словам исследователей, один из таких сервисов, Onion.top, тайно анализировал загружаемые через портал web-страницы на предмет строк, выглядящих как адреса биткойн-кошельков, после чего заменял их одним из кошельков операторов сервиса. Эксперты заметили подобное поведение на сайтах программ-вымогателей LockeR, Sigma и GlobeImposter.

В ходе анализа исследователи обнаружили, что в сервисе присутствуют различные «правила замены» биткойн-кошельков, свидетельствующие о том, что операторы вручную настраивали адреса для каждого отдельного сайта. В общей сложности эксперты выявили два адреса биткойн-кошельков, принадлежащих операторам Onion.toр. Суммарно в них хранилось не более 2 биткойнов (порядка $22 тыс.).

По данным исследователей, операторы вымогательского ПО приняли во внимание данный инцидент и убрали ссылки на все прокси-сервисы из своих программ, порекомендовав жертвам осуществлять оплату только через браузер Tor. Некоторые приняли дополнительные меры предосторожности, например, операторы программы-вымогателя MagniBear стали разделять отображаемый жертвам адрес биткойн-кошелька разными тегами HTML.

SOC как супергерой: не спит, не ест, следит за безопасностью!

И мы тоже не спим, чтобы держать вас в курсе всех угроз

Подключитесь к экспертному сообществу!