Операторы по меньшей мере одного сервиса, позволяющего получить доступ к сети Tor из обычного браузера, были уличены в замене адресов биткойн-кошельков на вымогательских сайтах. Об этом сообщили исследователи безопасности из компании Proofpoint.
Прокси-сервисы для доступа к сети Tor представляют собой web-сайты, позволяющие пользователям получать доступ к доменам .onion, размещенным в сети Tor, без необходимости устанавливать браузер Tor. Пользователи могут добавить расширение домена, например .top, .cab, .to в конце любого URL-адреса Tor и получать доступ к нему из обычного браузера, такого как Firefox, Chrome, Vivaldi, Edge и пр. За последние два года данные сервисы приобрели чрезвычайную популярность, особенно среди авторов вымогательского ПО. Программы-вымогатели как правило включают в себя сообщения о выкупе, в которых перечислены URL-адреса в сети Tor для его оплаты, а также альтернативные адреса различных прокси-сервисов.
По словам исследователей, один из таких сервисов, Onion.top, тайно анализировал загружаемые через портал web-страницы на предмет строк, выглядящих как адреса биткойн-кошельков, после чего заменял их одним из кошельков операторов сервиса. Эксперты заметили подобное поведение на сайтах программ-вымогателей LockeR, Sigma и GlobeImposter.
В ходе анализа исследователи обнаружили, что в сервисе присутствуют различные «правила замены» биткойн-кошельков, свидетельствующие о том, что операторы вручную настраивали адреса для каждого отдельного сайта. В общей сложности эксперты выявили два адреса биткойн-кошельков, принадлежащих операторам Onion.to. Суммарно в них хранилось не более 2 биткойнов (порядка $22 тыс.).
По данным исследователей, операторы вымогательского ПО приняли во внимание данный инцидент и убрали ссылки на все прокси-сервисы из своих программ, порекомендовав жертвам осуществлять оплату только через браузер Tor. Некоторые приняли дополнительные меры предосторожности, например, операторы программы-вымогателя MagniBear стали разделять отображаемый жертвам адрес биткойн-кошелька разными тегами HTML.
Источник: SecurityLab