انتشار نسخه جعلی مرورگر تور برای شناسایی هویت کاربران در فضای آنلاین
نسخهی جعلی مرورگر تور که ازلحاظ ظاهری تفاوتی با نسخهی اصلی ندارد، با هدف شناسایی کاربران در فضای آنلاین، دادههای حساسی نظیر ID شبکههای اجتماعی را جمعآوری میکند.
موبنا – پژوهشگران مؤسسهی امنیتی کسپرسکی بدافزاری را پیدا کردهاند که در نسخهی اصلاحشدهی مرورگر تور (Tor) پنهان شده است. این مرورگر در حالت عادی، ناشناسماندن کاربران در فضای مجازی را تضمین میکند؛ اما نسخهی اصلاحشده مشغول جمعآوری اطلاعات قابلشناسایی دربارهی کاربران است. ورج مینویسد نحوهی توزیع نسخهی اصلاحشدهی تور بهگونهای است که این اپلیکیشنِ حاوی بدافزار بهطورمشخص کاربران ساکن در چین را هدف قرار میدهد.
کارشناسان امنیتی میگویند کمپین بدافزاریِ جدید با نام OnionPoison بهمعنی سمِ پیازی ازطریق ویدئویی در یوتیوب که به زبان چینی با محوریت ناشناسماندن در فضای آنلاین تهیه شده است، کاربران ناآگاه را هدف قرار میدهد. متخصصان کسپرسکی میگویند حین تحقیقات متوجه شدند که ویدئو مذکور هنگام جستوجوی عبارت Tor浏览器 (معادل مرورگر تور در فارسی) در یوتیوب بالاتر از تمامی ویدئوهای دیگر نمایش داده میشد.
در بخش توضیحات ویدئو یوتیوب، لینک URL کاربران را به وبسایت رسمی مرورگر تور انتقال میدهد (این وبسایت در کشور چین فیلتر است). لینک URL دوم به سرویس اشتراکگذاری ابری ارتباط دارد و ازطریق آن میتوان فایل نصب تور را دانلود کرد. این فایل نصب را افراد سودجو اصلاح و میزبان کد مخرب کردهاند.
پس از نصب فایل یادشده، مرورگر تور روی کامپیوتر نصب میشود و بدون مشکل بالا میآید؛ اما بدون اینکه کاربر بداند، این نسخهی اصلاحشدهی تور تاریخچهی وبگردی و تمامی دادههای واردشدهی کاربر را ذخیره میکند. نسخهی اصلی مرورگر تور بهصورت پیشفرض این اطلاعات را حذف میکند.
موضوع نگرانکنندهتر این است که نسخهی اصلاحشدهی تور ازطریق یکی از سرورها بدافزاری دیگر را دانلود میکند. پژوهشگران کسپرسکی میگویند بدافزار دوم صرفاً روی کامپیوترهایی نصب میشود که آدرس IP آنها به چین ارتباط داشته باشد. دومین بدافزار پس از نصبشدن روی کامپیوتر فرد قربانی، به اطلاعاتی مثل GUID (شمارهی شناسایی منحصربهفرد کامپیوتر) بههمراه نام سیستم، نام کاربری فعلی و آدرس مک دسترسی پیدا میکند.
تمامی اطلاعات جمعآوریشده به سروری نامشخص ارسال میشود و براساس بررسی پژوهشگران کسپرسکی، این سرور حتی میتواند دسترسی به دادههای اپلیکیشنهای نصبشده روی کامپیوتر، تاریخچهی وبگردی (حتی تاریخچهی نسخهی جعلی تور) و ID تمامی حسابهای کاربری WeChat و QQ فعال در کامپیوتر را خواستار شود. پژوهشگران امنیتی میگویند بدافزار مذکور بهجای سرقت اطلاعات کاربران، بهدنبال شناسایی آنها است:
برخلاف سارقان معمولی، مسئولان کمپین OnionPoison بهصورت خودکار رمزعبور یا کوکی یا جزئیات کیف پول الکترونیکی کاربر را جمعآوری نمیکنند؛ بلکه دادههایی را جمعآوری میکنند که برای شناسایی قربانیان کاربرد دارند؛ دادههایی مثل تاریخچهی وبگردی و ID حسابهای شبکههای اجتماعی و جزئیات شبکهی وایفای.
از نگاه پژوهشگران امنیتی، بدافزار جدید نوعی برنامهی نظارتی قدرتمند و همهجانبه است که بهطورویژه بر کاربران چینی اینترنت تمرکز دارد. دادههای جمعآوریشده ازطریق کمپین OnionPoison بهحدی است که میتوان از آنها بهمنظور ساخت پروفایلی مجازی برای تعیین هویت کاربران و نحوهی استفادهی آنها از اینترنت بهره گرفت. این اتفاق در حالی رخ میدهد که کاربر به تصور خودش مشغول استفاده از یکی از امنترین مرورگرهای دنیا است.
منبع: زومیت
