
Según los investigadores, los operadores del proxy de Onion.top analizan en secreto las páginas de la deepweb para dar con cadenas similares a una dirección Bitcoin y reemplazarlas con la suyas propias. Hasta el momento, se estima que la estafa ha reunido $22.000
***
Los operadores de al menos un servicio proxy de Tor fueron capturados recientemente reemplazando las direcciones de Bitcoin en los sitios de pago de rescate ransomware, desviando fondos destinados a pagar descifradores de ransomware a los operadores del sitio.
Un “servicio proxy Tor” es un sitio web que permite a los usuarios acceder a los dominios .onion alojados en la red Tor sin necesidad de instalar el navegador Tor. Los servicios proxy de Tor permiten a los usuarios acceder usando un navegador común como Google Chrome, Edge o Firefox, simplemente agregando la extensión .top o .to al final de cualquier URL de Tor.
Pero los investigadores de la firma estadounidense de seguridad cibernética Proofpoint dicen que han atrapado a uno de estos servidores proxy de Tor robando tanto a los autores de ransomware como a las víctimas de ransomware.
Los extorsionistas de Ransomware les pedían a sus víctimas que pagaran en bitcoins y que utilizaran la deepweb para poder escapar de las autoridades. Cuando una víctima de ransomware no quería o no podía instalar el navegador Tor, utilizado para acceder a los dominios .onion de la web profunda, los operadores le pedían que utilizara un proxy de Tor, como onion.top u onion.to.
Según los investigadores, los operadores del servicio proxy de Onion.top están analizando en secreto las páginas de la web oscura cargadas a través de su portal para cadenas que se parecen a las direcciones de billetera Bitcoin y reemplazándolas por una propia.
Proofpoint dice que notó el comportamiento de intercambio de direcciones de Bitcoin en los portales de pago de rescate para tres familias de ransomware: Locke, Sigma y GlobeImposter.
De hecho, los investigadores dicen que notaron el comportamiento debido a un mensaje de advertencia publicado en el sitio de pago de LockeR realizado por los propios autores de LockeR:
“NO uses onion.top, están reemplazando la dirección Bitcoin por la suya y robando bitcoins“, dice el mensaje. “Para asegurarse de que está pagando a la dirección correcta, use el navegador Tor“.
Según los investigadores, el servicio secretamente estaba haciendo esto, y aparentemente obtuvo más de $ 22,000.
La baja cantidad obtenida sugiere que la estrategia no fue tan exitosa.
Onion.top está alterando las direcciones de billeteras Bitcoin de al menos tres cepas diferentes de ransomware: LockeR, Sigma y GlobeImposter. Las carteras aparentemente están configuradas manualmente, por sitio. La baja cantidad obtenida sugiere que la estrategia no fue tan exitosa.
Fuente: Cryptocoinsnews, bleepingcomputer
Versión de Jacobo Villalobos para DiarioBitcoin
ADVERTENCIA: DiarioBitcoin ofrece contenido informativo y educativo sobre diversos temas, incluyendo criptomonedas, IA, tecnología y regulaciones. No brindamos asesoramiento financiero. Las inversiones en criptoactivos son de alto riesgo y pueden no ser adecuadas para todos. Investigue, consulte a un experto y verifique la legislación aplicable antes de invertir. Podría perder todo su capital.
Suscríbete a nuestro boletín
Artículos Relacionados

Fundación Ethereum pausa programas de subvenciones mientras redefine nuevas estrategias

Justin Sun de Tron voló al espacio en misión de Blue Origin

FMI rechaza propuesta de subsidio eléctrico para minería Bitcoin en Pakistán
