Операторы Tor2Web перехватывали биткойны у онлайн-вымогателей

Многие пользователи даркнета пользуются не браузером Tor, а специальными сайтами, которые позволяют посетить ресурсы в зоне .onion из обычного браузера. Альтернативой Tor, Tor2Web, пользуются и преступники, таким образом «упрощая» процедуру оплаты выкупа для жертв вымогательств.

Эксперты Proofpoint обнаружили, что некоторые подобные сервисы также являются мошенническими, и наживаются на жертвах вымогательств и самих вымогателях, перехватывая платежи, адресованные, например, авторам шифровальщиков, посредством подмены биткойн-адресов.

Исследователи заключают, что операторы сервиса Onion[.]top занимаются скрытым парсингом сайтов (синтаксический анализ), которые посетители открывают при помощи их ресурса. Если пользователи обращаются к страницам вымогателей LockeR, Sigma и GlobeImposter, операторы Onion[.]top подменяют адреса Bitcoin-кошельков для оплаты выкупов на свои собственные.

Мошенническая схема обнаружилась после публикации предостережения на сайте вымогателя LockeR. Авторы шифровальщика призывают своих жертв не пользоваться сервисом Onion[.]top из-за случаев подмены кошельков.