Как это ни парадоксально, множество пользователей по сей день считают использование Tor весьма сложной задачей (напомню, что браузер Tor при этом представляет собой лишь модифицированную вариацию Firefox). В итоге люди посещают ресурсы, расположенные в зоне .onion, при помощи специальных сайтов, которые позволяют «заглянуть» в даркнет из привычного интернета и обычного браузера. Такие сервисы популярны и среди киберпреступников, — часто в различных вымогательских сообщениях можно встретить не только адреса в зоне .onion, но и альтернативные URL различных Tor2Web прокси и gateway’ев, которыми могут воспользоваться рядовые пользователи (к примеру, чтобы заплатить выкуп операторам шифровальщика).

Специалисты компании Proofpoint обнаружили, что операторы некоторых из этих сервисов наживаются на пользователях, которые уже стали жертвами вымогательского ПО, а также на авторах этого самого вымогательского ПО.

Так, исследователи пришли к выводу, что операторы сервиса Onion[.]top занимаются скрытым парсингом сайтов, которые посетители открывают при помощи их ресурса. К примеру, если пользователи обращаются к страницам вымогателей LockeR, Sigma и GlobeImposter, операторы Onion[.]top подменяют адреса Bitcoin-кошельков для оплаты выкупов на свои.

Мошенническая схема была обнаружена после публикации предупреждения на сайте вымогателя LockeR. Разработчики рансомвари призвали своих жертв не использовать Onion[.]top  и предупредили о подменах кошельков (см. скриншот ниже).

Специалистам Proofpoint удалось обнаружить два Bitcoin-кошелька, адресами которых владельцы Onion[.]top подменяют адреса других злоумышленников. В настоящее время в этих кошельках находятся 2 BTC (порядка 22 000 по текущему курсу), из чего исследователи делают вывод, что отвечающие за подмену кошельков правила активны непостоянно, или же Onion[.]top не пользуется большой популярностью.

Операторы вымогательской малвари уже начали защищаться от потенциального нового «тренда», который может значительно сократить их доходы. Так, некоторые киберпреступники уже перестали использовать ссылки на различные Tor2Web прокси и предоставляют пострадавшим только ссылки на сайте в зоне .onion, рекомендуя установить браузер Tor. Другие операторы вымогательского ПО стали тщательнее маскировать адреса своих кошельков. К примеру, авторы малвари MagniBear разделяют Bitcoin-адрес, опубликованный на их сайте, различными HTML-тегами. В этом случае адрес кошелька на странице становится сложнее обнаружить и, соответственно, подменить другим.

5 комментариев

  1. Башкир

    30.01.2018 at 18:03

    Человек, который создаст крепкую ИБ для криптобирж/торговли очень озолотится. А по сути мнимая защищенность криптовалют, про который спекулянты рассказывают на каждом углу, сыплется на глазах. Никакого злорадства или зависти, только рассмотрение как опыт.

  2. john_

    31.01.2018 at 06:05

    Одни мошенники изощреннее других) в потрясающее время живет, товарищи

  3. Themistocles

    31.01.2018 at 18:46

    разработчики малвари заботятся о «пользователях». вот умора))

  4. kt3127

    31.01.2018 at 19:05

    Tor неплохой браузер. Пользуюсь не постоянно, но когда надо, выручает. Никаких сложностей в нем не нашел! Но если кто-то не умеет пользоваться даже обычным браузером (I*, Cr**, Op***, Fire***), то даже Tor ему не ПОМОЖЕТ!

  5. mascha227

    06.02.2018 at 13:24

    вор у вора дубинку украл xD

Оставить мнение