Kaspersky’deki araştırmacılar, anonimliği koruyan Tor Browser’ın değiştirilmiş bir sürümünde gizlenmiş ve özellikle Çin’deki kullanıcıları hedefleyecek şekilde dağıtılmış kötü amaçlı yazılım buldular.
Göre Salı günü bir blog yazısında yayınlanan ayrıntılar, kötü amaçlı yazılım kampanyası, çevrimiçi anonim kalma hakkında Çince bir YouTube videosu aracılığıyla şüphelenmeyen kullanıcılara ulaşıyor. Araştırma döneminde video, YouTube’un Çince’de “Tor tarayıcısı” anlamına gelen “Tor浏览器” sorgusu için en iyi sonuçtu. Videonun altında, resmi Tor web sitesine (Çin’de engellenen) bir URL bağlantı vardır; bir diğeri, kötü amaçlı kod içerecek şekilde değiştirilmiş, Tor için bir yükleyici barındıran bir bulut paylaşım hizmetine bağlantı sağlar.
Dosya yürütüldüğünde, kullanıcının makinesine Tor Browser’ın çalışan bir sürümünü yükler. Ancak tarayıcı, göz atma geçmişinin ayrıntılarını ve kullanıcı tarafından girilen ve Tor Tarayıcı’nın orijinal sürümünün varsayılan olarak unuttuğu herhangi bir form verisini kaydedecek şekilde değiştirildi.
Daha da önemlisi, tarayıcının kötü amaçlı sürümü, araştırmacıların yalnızca Çin’de bulunan bir IP adresine sahip makinelere yüklendiğini söylediği uzak bir sunucudan başka bir kötü amaçlı yazılım yükü indirmeye çalışır. İkinci aşama kötü amaçlı yazılım bir hedef makineye yüklendiğinde, sistem adı, geçerli kullanıcı adı ve MAC adresi (bir ağdaki makineyi tanımlayan) ile birlikte bilgisayarın GUID’si (benzersiz bir tanımlayıcı numara) gibi ayrıntıları alır.
Tüm bu bilgiler uzak bir sunucuya gönderilir ve Kaspersky’nin analizine göre, bu sunucu ayrıca sistemin yüklü uygulamaları, tarayıcı geçmişi – sahte Tor Tarayıcı dahil – ve üzerinde bulunan WeChat ve QQ mesajlaşma hesaplarının kimlikleri hakkında veri talep edebilir. bilgisayar.
Özellikle, kötü amaçlı yazılım, kâr için satılabilecek verileri çalmak yerine kullanıcıyı tanımlamak için tasarlanmış görünüyor. Kaspersky araştırmacıları, “Sıradan hırsızların aksine, OnionPoison implantları kullanıcı şifrelerini, çerezleri veya cüzdanları otomatik olarak toplamaz” diyor. “Bunun yerine, tarama geçmişleri, sosyal ağ hesap kimlikleri ve Wi-Fi ağları gibi kurbanları tanımlamak için kullanılabilecek verileri toplarlar.”
Sonuç, özellikle Çinli internet kullanıcılarını hedef alan güçlü ve kapsamlı bir gözetim programıdır. Birlikte, elde edilen veriler, bir kullanıcının kimliğinin ve internet kullanım alışkanlıklarının kapsamlı bir profilini oluşturmak için yeterli olacaktır, hatta onları anonim tutacağına inandıkları yazılımlarla gezinirken bile.
Bu tür saldırılara karşı en iyi koruma, yazılımı yalnızca güvenilir bir kaynaktan indirmektir – bu durumda, resmi Tor Projesi portalı – ancak Çin’in kapsamlı internet sansürü, ülkedeki birçok kullanıcı için bunu zorlaştırıyor. Varsayılan olarak, Çin hükümeti, Twitter, Instagram ve Gmail gibi temel uygulamalar da dahil olmak üzere, iktidardaki Komünist Parti için kritik bilgileri dağıtabilecek çok çeşitli web sitelerine erişimi engelliyor.