Поддельный браузер Tor крадет биткоины у желающих купить наркотики

Безопасность Пользователю Интернет E-commerce
мобильная версия
, Текст: Валерия Шмырова

В сети распространяется подделка под браузер Tor — приложение Rodeo Browser. Оно заманивает желающих приобрести наркотики или оружие не несуществующий маркетплейс. Покупатели расплачиваются за товар биткоинами, но так и не получают своих покупок.


Поддельный Tor

Неизвестные злоумышленники распространяют в интернете поддельный браузер Tor, который выманивает у пользователей деньги за несуществующие товары. На самом деле вредоносное приложение называется Rodeo Browser и не имеет с Tor ничего общего, кроме внешнего вида. Подделку обнаружил исследователь кибербезопасности Лоуренс Адамс (Lawrence Abrams), основатель сайта Bleeping Computer.

Rodeo Browser распространяется через обучающие видеоролики на YouTube. Ролики объясняют пользователям без технической подготовки, как купить нелегальные товары на торговой площадке The Rodeo, якобы существующей в даркнете. Видео предлагает скачать продвинутую версию Tor, модифицированную специально для доступа к площадке. На самом деле, это не Tor, а Rodeo Browser.

Схема работы

Rodeo Browser представляет собой базовый пользовательский интерфейс, имитирующий внешний вид Tor. Приложение написано на .NET. Ни одна кнопка Rodeo Browser не работает — при нажатии приложение сообщает, что данная функция отключена. Единственное, что работает в «браузере» — это меню «Настройки», через которое можно зайти на торговую площадку The Rodeo. Когда пользователь нажимает на кнопку, приложение делает вид, что соединяет его с несуществующим сайтом th3rod3o3301jtxy.onion.

Поддельный Tor-браузер Rodeo в работе

На самом деле, Rodeo Browser даже не подключается к даркнету. Он устанавливает соединение с удаленным FTP-сервером, с которого закачивает контент «торговой площадки». Реальный адрес сервера — th3rod30.xyz, кое-что также можно найти на публичном ресурсе th3rod30.xyz/s. Данные хранятся в текстовом виде, или зашифрованные методом Base64, или в виде закодированных HTML-файлов.

На удаленном FTP- и веб-сервере исследователи нашли текстовые файлы с описанием всех продавцов, товаров и меню маркетплейса. Судя по этим данным, на площадке зарегистрировалось 138 покупателей. На каждого клиента была заведена папка, где в текстовом виде хранился его пароль и приватные сообщения.

Заказ и оплата

The Rodeo полностью имитирует обычный маркетплейс даркнета — сначала здесь нужно зарегистрироваться и залогиниться. Потом можно ознакомиться с ассортиментом запрещенных товаров, просмотреть информацию о продавцах и разместить заказ. Площадка уверяет, что заказы шифруются с помощью PGP-ключей, на самом деле это не так.

Ассортимент The Rodeo включает наркотики, оружие, контрафактные деньги, разблокированные телефоны, хакерские услуги, поддельные кредитные карты и многое другое. Покупки оплачиваются в биткоинах. После того, как покупатель перечислил средства, никакой товар ему не приходит.

BleepingComputer полагает, что при попытке сделать заказ у любого из продавцов покупатель в итоге выходит на связь с одним и тем же человеком, которому и перечисляет биткоины. Судя по имеющимся данным, как минимум три человека уже успели лишиться своих денег.