Эксперты Proofpoint уличили операторов прокси-сервиса Onion[.]top в краже криптовалюты, которой жертвы заражения расплачиваются за возвращение доступа к файлам, зашифрованным зловредами. Мошенники попросту подменяют адреса Bitcoin-кошельков на сайтах, созданных вымогателями в анонимной сети.

Прокси-сервисы Tor позволяют пользователям Интернета получать доступ к доменам .onion через обычный браузер. Такие службы обеспечивают довольно быстрое соединение, к тому же в большинстве случаев бесплатны. Как отметил репортер Bleeping Computer, за последние пару лет популярность Tor-прокси заметно возросла, особенно в среде киберкриминала, занимающегося вымогательством с помощью программ-шифровальщиков.

В требовании выкупа, отображаемом такими зловредами, обычно указывается не только URL сайта в Tor для приема платежей, но также адреса прокси-служб, через которые можно зайти на этот сайт без установки Tor-браузера.

По словам исследователей, операторы Onion[.]top скрытно производят парсинг страниц дарквеба, загружаемых через их портал, и в итоге направляют платежи в собственный карман, обкрадывая и жертв вымогательства, и самих вымогателей. Аналогичное поведение демонстрирует недавно объявившийся троян Evrial.

Обнаружить мошенничество экспертам помогло предупреждение, размещенное на onion-сайте LockeR. Посетителей убедительно просят воздержаться от услуг Onion[.]top, операторы которого подменяют адрес целевого Bitcoin-кошелька и воруют криптовалюту. Чтобы средства попали по назначению, плательщикам рекомендуется использовать Tor Browser. Поиск более ранних копий сайта LockeR показал, что его владельцы лишь недавно обнаружили эту проблему.

В ходе эксперимента исследователи выявили различные «правила замены» адреса Bitcoin-кошелька; их применение зависит от характера страницы, отображаемой жертве заражения. По всей видимости, операторы Onion[.]top настраивают подмену вручную для каждого целевого сайта.

На настоящий момент мошенники, использующие два криптокошелька, успели разбогатеть лишь на два биткойна (22 тыс. долларов) за счет жертв LockeR, объявившегося в октябре, а также Sigma и GlobeImposter. По всей видимости, данная схема отъема криптовалюты оказалась не очень успешной, или просто Onion[.]top недостаточно популярен.

Как бы то ни было, авторы вымогательских кампаний приняли к сведению мошеннические действия этого сервиса и начали принимать ответные меры. По свидетельству экспертов, операторы шифровальщиков перестали предлагать жертвам ссылки на прокси-службы Tor и ныне указывают лишь прямой адрес onion-сайта, доступный через Tor Browser. А повелители Magniber теперь разделяют свои Bitcoin-адреса, отображаемые жертвам, вставками из HTML-тэгов. По словам экспертов, это затруднило распознавание схемы адреса на Tor-прокси, но не может считаться надежным способом защиты.

Категории: Аналитика, Вредоносные программы, Мошенничество