Xakep #305. Многошаговые SQL-инъекции
На прошлой неделе исследователи Bleeping Computer обнаружили необычную мошенническую схему. Неизвестные злоумышленники создали подделку под Tor браузер, которую распространяют среди доверчивых пользователей, якобы помогая им получить доступ к подпольным торговым площадкам «изнанки интернета».
Вредоносное приложение, копирующее Tor, носит имя Rodeo Browser и распространяется посредством роликов на YouTube. Такие видео учат неискушенных пользователей, как «попасть в даркнет» и приобрести там запрещенные законом товары. Мошенники уверяют, что их версия браузера Tor модифицирована особым образом, чтобы предоставлять доступ к торговой площадке The Rodeo. Разумеется, эти заявления едва соответствуют действительности.
На самом деле Rodeo Browser лишь копирует внешний вид и интерфейс Tor Browser, но не имеет с оригиналом ничего общего. Можно сказать, что написанная на .NET подделка вообще не работает: на какие бы кнопки ни нажимал пользователь, в результате он увидит лишь ошибку, как на приведенном скриншоте.
Единственная доступная и работающая функция – это выпадающее меню, якобы предоставляющее доступ к различным разделам даркнет-маркета The Rodeo. Если пользователь выбирает одну из секций, приложение делает вид, что устанавливает соединение с th3rod3o3301jtxy.onion. На деле Rodeo Browser вообще не использует Tor. Единственная задача программы – соединиться с удаленным FTP-сервером злоумышленников, с которого она и получает весь контент.
Торговая площадка The Rodeo тоже представляет собой одну большую фальшивку. Весь контент загружается с FTP- или веб-сервера, где он хранится в формате текста, Base64 или зашифрованных файлов HTML. FTP-сервер расположен по адресу th3rod30.xyz, и некоторые файлы свободно доступны в веб-директории th3rod30.xyz/s. «Сайт» предлагает широкий ассортимент нелегальных товаров и услуг: наркотики, оружие, поддельные банковские карты, услуги фальшивомонетчиков, хакерские сервисы и так далее.
Исследователи пишут, что все товары, представленные на The Rodeo, скорее всего, тоже лишь фальшивка. Ресурс скрупулезно имитирует настоящий торговый сайт даркнета, то есть требует, чтобы пользователь прошел регистрацию и авторизовался, а после позволяет просматривать товары, профили продавцов, размещать и оплачивать заказы, но жертвы мошенников вряд ли когда-нибудь получат оплаченные товары. Хотя на «сайте» заявлено, что все заказы шифруются PGP-ключами, никаких доказательств этого специалистам обнаружить не удалось.
На FTP-сервере мошенников исследователи нашли немало интересного. К примеру, там обнаружился список всех зарегистрировавшихся на The Rodeo пользователей. Таковых насчитывается 138 человек. Каждому пользователю на сервере отведена личная директория, где в виде обычного текста хранятся пароль, личные сообщения и другая конфиденциальная информация.
Согласно анализу Bleeping Computer, к какому бы продавцу ни обращались пользователи, все их «заказы» попадают в руки одного человека, который сообщает жертвам номера биткоин-кошельков для оплаты товара. Исследователи обнаружили три таких кошелька, и, судя по всему, как минимум три человека уже поверили злоумышленникам и произвели оплату.