По мнению специалиста, таким образом группировка подменяет биткоин-адреса внутри HTTP-трафика, связанного с миксер-сервисами. Подобные сервисы помогают «запутать следы», превращая простой перевод средств с одного аккаунта на другой в сложную схему: вместо одной транзакции сервис разбивает нужный платеж на сотни или тысячи мелких переводов, которые отправляются на разные аккаунты и проходят через множество кошельков, прежде чем достигнут истинной цели. То есть, подменяя адреса на уровне HTTP-трафика, злоумышленники эффективно перехватывают средства жертв, без ведома как самих пользователей, так и криптовалютных миксер-серсивов.
Сами по себе подобные атаки нельзя назвать новыми, но исследователь отмечает невидный масштаб этой операции. Так, опираясь на контактный email-адрес вредоносных серверов, эксперт отследил по меньшей мере 9 кластеров входных узлов, добавленных за последние семь месяцев. Вредоносная сеть достигла своего пика 22 мая текущего года, когда в нее входили 380 серверов, и группировка контролировала 23,95% всех выходных узлов Tor.
Nusenu пишет, что он не раз сообщал администраторам Tor о вредоносных выходных узлах и после последней «зачистки», произошедшей 21 июня 2020 года, возможности злоумышленников сильно сократились. Впрочем, по состоянию на 8 августа 2020 года группировка по-прежнему контролировала около 10% выходных узлов.
По мнению исследователя, злоумышленники будут продолжать эти атаки и далее, так как у инженеров Tor Project нет возможности тщательно проверить всех присоединившихся к сети участников, ведь во главу угла ставиться анонимность.
Напомню, что похожая атака была обнаружена в 2018 году. Тогда в манипуляциях пользовательским трафиком уличили операторов нескольких Tor2Web-сервисов. Злоумышленники так же подменяли адреса биткоин-кошельков своими. К примеру, когда пользователи пытались заплатить выкуп операторам шифровальщиков LockeR, Sigma и GlobeImposter, их средства оседали в карманах других хакеров.
Источник - https://xakep.ru/
Kriminal.lv в Телеграме
