Прокси-сервер воровал у пользователей биткоины

Эксперты компании Proofpoint обнаружили, что прокси-сервис onion.top, позволяющий получить доступ к сети Tor из обычного браузера, занимается подменой адресов биткоин-кошельков. Подобное поведение было замечено на сайтах программ-вымогателей LockeR, Sigma и GlobeImposter.

Фактически, говорят исследователи, что они заметили это из-за предупреждения, размещенного на сайте оплаты LockeR авторами вымогателя.

«НЕ используйте onion.top, они заменяют адреса биткоин-кошельков своими собственными и крадут биткоины», — говорится в сообщении. «Чтобы быть уверенным, что вы платите на правильный адрес, используйте Tor Browser».

Более старое изображение портала выплат с октября 2017 года не содержит этого сообщения, что означает, что даже команда LockeR только недавно узнала об этой проблеме.

Во время экспериментов, проведенных Proofpoint, исследователи обнаружили различные «правила замены» биткоин-кошелька на основе страницы, к которой пользователь обращался. Видимо владельцы onion.top настраивали эти правила вручную для каждого сайта.

Proofpoint идентифицировал два адреса биткоин-кошелька, которыми управляет команда Onion.top, оба держали не более 2 биткоинов (22 000 долларов США).