Благодаря вниманию экспертов компании Proofpoint, были обнаружены некоторые интересные моменты, касаемые хорошо известного браузера Tor – системы прокси-серверов, позволяющей установить защищённое от внешней прослушки интернет-соединение. Однако и сам сервис осуществлял слежку: за загружаемыми web-страницами на предмет строк, выглядящих как адреса биткоин-кошельков.
Как сообщили специалисты по безопасности из Proofpoint, операторы по крайней мере одного прокси-сервиса, что позволял получить доступ к Tor из простого браузера, занимались подменой адресов биткоин-кошельков на вымогательских сайтах.
Прокси-серверы – это веб-сайты, что открывают доступ к доменам .onion сети Tor без необходимости скачивать сам браузер. В последнее время они стали необычайно популярны, особенно в среде создателей программ-вымогателей. Как правило они блокируют работу ПО и просят заплатить «выкуп» по URL-адресам в сети Tor.
Один из таких сервисов – Onion.top – и заменял адреса BTC-кошельков на кошелёк операторов сервиса. Подозрительная активность была замечена на сайтах программ-вымогателей LokeR, Sigma и Globelmposter.
Опраторы Onion.top вручную настраивали адреса для каждой площадки в отдельности. Исследователи выявили два кошелька, куда перенаправлялись средства, и сейчас на их счетах хранится около 2 биткоинов.
Вымогательские ПО уже приняли меры. Так, они уже убрали ссылки на все прокси-сервисы и отображают жертвам рекомендацию осуществлять оплату только через браузер Tor. А другие, вроде операторов вымогателя MagniBear, стали разделять адрес кошелька разными HTML тегами.