Операторы по меньшей мере одного сервиса для доступа к сети Tor из обычного браузера, уличены в замене адресов биткойн-кошельков на вымогательских сайтах. О проблеме стало известно благодаря исследователям безопасности из компании Proofpoint.
Прокси-сервисы для доступа к сети Tor представляют собой web-сайты для получения доступа к доменам .onion, размещенным в сети Tor. Многие пользуются этой опцией, потому что с ней нет необходимости устанавливать браузер Tor. Добавив расширение домена, например .top, .cab, .to в конце любого URL-адреса Tor можно получать доступ к нему из обычного браузера (Firefox, Chrome и пр). Можно сказать, что это довольно удобно и быстро, однако есть и обратная сторона медали.
За последние два года подобные сервисы приобрели большую популярность за счет авторов вымогательского ПО. Программы-вымогатели как правило включают в себя сообщения о выкупе. В тексте таких посланий перечисляются URL-адреса в сети Tor для оплаты, а также альтернативные адреса различных прокси-сервисов.
Один из таких сервисов, Onion.top, тайно анализировал загружаемые через портал web-страницы на предмет строк, выглядящих как адреса биткойн-кошельков, после чего заменял их одним из кошельков операторов сервиса. Подобное поведение было замечено на сайтах программ-вымогателей LockeR, Sigma и GlobeImposter.
По данным исследователей, операторы вымогательского ПО приняли во внимание этот инцидент и убрали ссылки на все прокси-сервисы из своих программ, рекомендуя осуществлять оплату только через браузер Tor.
Источник: securitylab.ru