Модифицированная версия Tor Browser шпионит за китайскими пользователями

Время чтения - 1 мин, 18 сек.
08 окт 2022
Дата
726

Просмотров

Исследователи Лаборатории Касперского обнаружили модифицированную версию браузера Tor, которая собирает конфиденциальные данные о китайских пользователях.

По словам экспертов, собираемые данные включают в себя:

  • историю просмотра;
  • данные, введенные в формы веб-сайтов;
  • ID аккаунтов соцсетей;
  • информацию о сети Wi-Fi.

Также были обнаружены шпионские программы, спрятанные в прилагаемой библиотеке, которая собирала дополнительную информацию:

  • имя пользователя;
  • местоположение компьютера;
  • MAC-адреса сетевых адаптеров.

Особенностью вредоносного браузера является встроенные инструменты для выполнения команд оболочки, что дает злоумышленнику полный контроль над машиной.

По словам специалистов, злоумышленники могут искать в эксфильтрированных историях браузера следы незаконной деятельности, связываться с жертвами через соцсети и угрожать сообщить о них властям.

Поскольку веб-сайт Tor Browser заблокирован в Китае, жители Китая часто загружают Tor со сторонних веб-сайтов. В данном случае ссылка на вредоносный установщик Tor была размещена на популярном китайском YouTube канале, посвященном анонимности в Интернете. Видео было опубликовано в январе 2022 года, а первые жертвы кампании начали появляться в марте 2022 года.

Вредоносный установщик Tor Browser был размещен на китайском облачном сервисе, и его интерфейс визуально был идентичен настоящему. Однако, у установщика не было цифровой подписи, а некоторые файлы отличались от оригинала.

Исследователи Лаборатории Касперского назвали эту кампанию OnionPoison и подтвердили, что злоумышленники нацелены на пользователей в Китае. Такой вывод сделан потому, что связаться с C&C сервером и получить DLL второго этапа можно только при подделке китайского IP-адреса.

Вне зависимости от мотивов хакера, лучший способ избежать заражения имплантатами OnionPoison — всегда скачивать ПО с официальных сайтов. Если скачать с официального сайта невозможно, то вместо этого нужно проверить подлинность установщиков, загруженных из сторонних источников, изучив их цифровые подписи.

Максим Невзоров
Автор

Как узнать место по фото
Технологии, компьютер и интернет
Определение местоположения по фотографии — это сложная задача, которая может быть решена с помощью различных методов и технологий. Про несколько подходов мы рассказали в этом материале.
Сентябрь
213
Ускоренная индексация сайта в Google через Search Console и Indexing API
Технологии, компьютер и интернет
Индексация сайта в поисковых системах является ключевым фактором для обеспечения его видимости и успешного ранжирования. Google, как крупнейшая поисковая система, предоставляет инструменты для ускорения этого процесса через Google Search Console и Indexing API. В этой статье мы рассмотрим, как эффективно использовать эти инструменты для ускорения индексации вашего сайта.
Август
181
Как скачать torrent файлы прямо в браузере
Технологии, компьютер и интернет
Иногда бывает так, что нужно скачать небольшой файл с торрента, а программа для скачивания не установлена. В подобный случаях сможет выручить сервис, который позволяет скачивать файлы с торрента через браузер.
Август
233
Блокировщики рекламы под угрозой исчезновения
Технологии, компьютер и интернет
Google Chrome скоро начнет уведомлять пользователей о предстоящем обновлении до Manifest V3, которое приведет к отключению блокировщиков рекламы. Как было заявлено ранее, поддержка расширений на базе Manifest V2 будет прекращена, что сделает неработоспособными многие блокировщики и другие программы, написанные на старой версии. Несмотря на переход к новой версии Manifest V3, блокировщики рекламы, адаптированные под новые стандарты, не смогут эффективно блокировать рекламу из-за изменений в правилах. Учитывая, что реклама является основным источником дохода для Google, блокировщики рекламы представляются компании вредными и нежелательными.
Август
138
В Яндекс вебмастере некорректно настроен возврат http кода 404
Технологии, компьютер и интернет
В вебмастере Яндекса поменялся алгоритм индексирования, что послужило появлением возможной проблемы с заголовком 404.
Январь
685