Фахівці з питань безпеки з компанії Proofpoint провели розслідування, в ході якого виявили, що проксі-сервіс onion.top, через який можна отримати доступ до мережі Tor із звичайного браузера, підміняє адреси біткойн-гаманців і веде себе аналогічно програмами-здирникам LockeR, Sigma та GlobeImposter.
Сервіс переглядає завантажувані через портал веб-сторінки, шукаючи на них рядки, які виглядають як адреси біткойн-гаманців, після чого замінює такі рядки на гаманці зловмисників, — пояснили експерти з ProofPoint.
В ході аналізу роботи сервісу виявилося, що він працює за наступними правилами підміни біткойн-гаманців, що явно вказує на ручне налаштування під кожен конкретний сайт.
Поки виявлено два біткойн-гаманця які належать шахраям, що працюють через onion.top. Сумарно гаманці містять близько двох Біткойнів (близько 22 тисяч доларів). Після того як схема була розсекречена, оператори програми прибрали посилання на всі проксі-сервери і порадили користувачам здійснювати оплату лише через браузер Tor.
