Onderzoekers hebben een kwaadaardige Tor-proxy ontdekt die bitcoinbetalingen van ransomwareslachtoffers onderschept. Veel ransomware-exemplaren maken gebruik van websites die op het Tor-netwerk worden gehost. Op de website staat vermeld wat het slachtoffer moet doen om zijn bestanden te ontsleutelen. Het gaat dan onder andere om het te betalen bedrag en het bitcoin-adres waar het geld naar toe moet worden overgemaakt.
Om websites op het Tor-netwerk te bezoeken moeten gebruikers over Tor Browser beschikken, wat vaak niet het geval is. Via een Tor-proxy is het echter mogelijk om deze websites zonder het gebruik van Tor Browser te bezoeken. Sommige ransomware-exemplaren adviseren zelfs het gebruik van een Tor-proxy. De Tor-proxy zit echter tussen de gebruiker en het Tor-netwerk en kan zodoende allerlei informatie aanpassen.
Onderzoekers van securitybedrijf Proofpoint ontdekten onlangs een ransomware-exemplaar dat waarschuwde voor de Tor-proxy Onion.top, omdat het bitcoin-adressen zou vervangen. Iets wat de onderzoekers inmiddels ook zelf hebben vastgesteld. De Tor-proxy laat gebruikers een ander bitcoin-adres zien dan op de echte Tor-pagina van het ransomware-exemplaar staat vermeld.
Zodoende maken ransomwareslachtoffers het geld naar het verkeerde adres over en worden zo twee keer gedupeerd. De bitcoin-adressen die de Tor-proxy aan slachtoffers laat zien hebben bij elkaar inmiddels 1,82 bitcoin ontvangen, wat op dit moment ruim 16.000 euro is. Het werkelijke bedrag kan mogelijk hoger liggen, aangezien het onbekend is of er ook van andere bitcoin-adressen gebruik wordt gemaakt.
Deze posting is gelocked. Reageren is niet meer mogelijk.