Эксперты Bleeping Computer на прошлой неделе выявили нестандартную мошенническую схему. Неизвестные хакеры разработали поддельный браузер Tor, который распространяется среди пользователей для того, чтобы якобы помочь им заполучить доступ к подпольным торговым форумам в даркнете.
Вредоносное приложение Rodeo Browser, которое копирует Tor Browser, распространяется через видеоролики на YouTube. В таких записях пользователям объясняют, как «попасть в даркнет» и купить там товары, которые запрещены по закону. Кибермошенники заверяют жертв, что их вариант Tor Browser является особой модификацией для получения доступа к торговой площадке The Rodeo, что не имеет ничего общего с реальностью.
Rodeo Browser в действительности лишь внешне схож с Tor Browser. Фальшивый сервис, созданный на .NET, не работает, поскольку пользователь, нажимая на кнопки, видит лишь сообщение об ошибке.
Единственный доступный функционал – выпадающее меню, которое якобы дает доступ к разделам даркнет-маркета The Rodeo. Когда пользователь избирает одну из опций, приложение якобы начинает установку соединения с th3rod3o3301jtxy.onion. В действительности Rodeo Browser вовсе не работает с Tor. Единственной задачей программы является соединение с FTP-сервером хакеров, с которого Rodeo Browser загружает контент.
Торговая площадка The Rodeo также является фиктивной. Загрузка всего контента осуществляется с FTP-сервера, где информация хранится в виде текста и зашифрованных HTML-файлов. FTP-сервер располагается по адресу th3rod30.xyz (часть файлов находится свободном доступе в веб-директории th3rod30.xyz/s). На фальшивом «сайте» предлагаются нелегальные товары и услуги, а именно наркотики, оружие, фальшивые банковские карты и хакерские инструменты.
Эксперты сообщают, что все товары, которые представлены на The Rodeo, вероятнее всего, тоже являются фальшивыми. Сайт является точной копией настоящего торгового портала в даркнете. Так, пользователи должны пройти регистрацию и авторизацию, что позволит им просматривать товары, аккаунты продавцов, размещать заказы и платить за товары, которые, однако, никогда не будут доставлены покупателям. Несмотря на то, что на «сайте» заявлено о шифровании всех заказов с помощью PGP-ключей, эксперты не выявили никаких доказательств этого.
На сервере злоумышленников эксперты обнаружили список всех 138 пользователей, зарегистрированных на The Rodeo. На сервере существуют папки, где сохраняется в виде обычного текста пароль, личные сообщения и другие конфиденциальные сведения о каждом пользователе.
Специалисты Bleeping Computer сделали вывод о том, что все «заказы» пользователей попадают в распоряжение одного человека, который передает жертвам, желающим оплатить товары, номера биткоин-кошельков. Эксперты выявили три кошелька хакеров и узнали, что как минимум три человека уже перевели деньги мошенникам.
