Киберпреступники воруют деньги у своих жертв при помощи поддельного браузера Tor

ab6ad4c8c49d508d1b573bbe4cf742f6.jpg

Злоумышленники, чем бы они ни занимались, бывают довольно изобретательными. Это касается как обычных преступников, так и тех, кто совершает правонарушения в Сети. На прошлой неделе представители компании Bleeping Computer, которая занимается вопросами кибербезопасности, обнаружили необычную схему обмана своих жертв киберпреступниками. Речь идет о поддельном Tor браузере, который используется для обмана пользователей, желающих получить доступ к различным торговым площадкам.

Внешне поддельная программа очень похожа на настоящий Tor, хотя и называется Rodeo Browser. Распространяется она через ссылки в роликах YouTube. Сами ролики демонстрируют неискушенным пользователям, как в даркнете можно приобрести разного рода товары, запрещенные законом. По словам мошенников, их браузер — это модифицированная версия Tor, которая используется для предоставления доступа к торговой площадке The Rodeo.
Все заявления тех, кто стоит за поддельным Tor — ложь. На самом деле Rodeo Browser — совершенно отличная от Tor программа. Она лишь копирует интерфейс и дизайн оригинального Tor. Создан софт на .NET. Ни на какие сайты браузер заходить неспособен. Если выбрать что-то, совершенно неважно, что, то пользователь увидит лишь сообщение об ошибке.

967e760480345b20f1da47413ed5561c.jpg

Не работает ничего, кроме выпадающего меню, которое, по словам разработчиков поддельного браузера, предоставляет пользователям доступ к даркнету. А именно — к торговой площадке The Rodeo. Как только пользователь выбирает один из подразделов меню, «браузер» симулирует установку соединения с th3rod3o3301jtxy.onion. На самом деле в это время программа подключается к серверу мошенников по FTP, весь получаемый контент «браузер» загружает именно оттуда.

a5fdbc9145620592953dc79c54cbbfba.jpg

Контент хранится в виде текста, Base64 или зашифрованных файлов HTML. FTP-сервер находится по адресу th3rod30.xyz, причем ряд файлов доступны в директории th3rod30.xyz/s. Зайдя на «страницу» маркета, пользователь поддельного браузера видит запрещенные препараты, оружие, банковские карты, разного рода сервисы, предлагаемые хакерами и прочее. На самом деле, как считают эксперты, никаких таких товаров и услуг нет. Браузер поддельный, а задача его разработчиков — вытянуть из пользователей побольше денег.

Для того, чтобы работать с сайтом, необходимо зарегистрироваться и авторизоваться. После этого можно что-то и купить. Конечно, покупатели своих товаров не дождутся, поскольку, как уже говорилось выше, все это фейк. По словам разработчиков, вся информация, включая заказы, шифруется PGP-ключами. После детального анализа оказалось, что никаких ключей нет, информация остается едва ли не в открытом виде. База данных со списком всех зарегистрировавшихся в «маркете» пользователей тоже находится на ftp-сервере, о котором шла речь выше. Пока что это всего 138 человек.

ebfd337d2339df29c46889a9d5c6f72c.jpg

Сам «браузер» создан не для того, чтобы собирать данные пользователей, а для заработка. Покупая товары или услуги при помощи поддельного браузера Tor пользователи перечисляют биткоины на кошельки, которые, по всей видимости, принадлежат разработчику. Соответственно, он получает все средства, направленные на оплату чего-либо. Правда, пока что исследователи по кибербезопасности обнаружили всего три записи с данными об оплате, то есть деньги направили всего трое пользователей. Не так много, но если база «клиентов» будет расширяться, то и доход создателя браузера будет расти.

Что касается владельцев реальных маркетов в даркнете, то их судьба не всегда складывается хорошо. Росс Ульбрихт, создатель Silk Road, крупнейшего в даркнете маркета, где можно было достать все от наркотиков до тяжелого вооружения, получил несколько лет назад пожизненный срок.

2a01b11ac1a8978fddd2b369a6406091.png

Его коллега, владелец AlphaBay, которого арестовали несколько дней назад, и вовсе совершил самоубийство. Об этом вчера сообщило издание The Wall Street Journal. AlphaBay держал уроженец Канады, Александр Каз. Его в ходе совместной операции задержала тайская полиция. У Каза конфисковали три дома и четыре спортивных машины общей стоимостью в 11 миллионов долларов США. AlphaBay был запущен примерно в то же время, когда закрылся Silk Road. Площадка быстро выросла и стала крупнейшим в Tor рынком оружия, наркотиков и хакерского софта. Ежедневный оборот на этой площадке составлял 600 тысяч долларов США, база пользователей насчитывала 200 тысяч человек.

© Geektimes