Pratite nas preko RSS-aMalver na lažnom web sajtu Tor Project
Vesti, 15.08.2014, 09:11 AM
Francuski student informatike Žulijen Voazan otkrio je skoro savršenu kopiju web sajta Tor Project, na kome se posetiocima nudi da preuzmu malver umesto Tor Browser Bundle, i na kome se takođe prikupljaju donacije koje su namenjene programerima Tor Projecta.
Pošto je od prijatelja saznao za kopiju web sajta Tor Project, Voazan je preuzeo navodni Tor Browser Bundle (torbrowser-install-3.6.3_en-US.exe) i posle reveznog inženjeringa otkrio da se malverom može upravljati tako da preuzima i šalje fajlove, da se ažurira, pravi snimke ekrana, izvršava sistemske komande, restartuje računar i samog sebe itd.
Reverzni inženjering omogućio je Voazanu i da stupi u kontakt sa botmasterom i da malo proćaska sa njim/njom.
Razgovor je protekao u prijateljskom tonu, a botmaster je izrazio iznenađenje zbog toga što je Voazan pronašao web sajt i čestitao mu na tome.
Kopija sajta Tor Projecta je takva da je sajt skoro identičan originalnom tako da manje pažljivi posetioci ne bi verovatno primetili da se nalaze na lažnom sajtu osim ako ne obrate pažnju na domen (torbundlebrowser.org).
Analizirajući lažni web sajt, Voazan je primetio da je link za donacije zamenjen bitcoin adresom, i da je ponuđen drugi paket za preuzimanje.
Analizirajući paket Voasan je primetio znake zaštićenih payloada, kao i da autori izdaju komande preko Windows Command Prompt i to onda kada su sigurni da se neće izvršiti u sandboxu.
Dublja analiza paketa dovela je Voazana do servera za komandu i kontrolu koji je kontaktirao, pa je tako započela komunikacija sa osobom sa druge strane.
Osoba sa kojom je razgovarao Voazan pokušala je da ga ubedi da su oni mala grupa (možda iz Kine) koja pokušava da uhvati pedofile šireći link za lažni web sajt među pedofilima. Da bi ga ubedila u to, ta osoba je rekla i da je jedan pedofil već prijavljen kanadskom Centru za zaštitu deteta. Voazan, međutim, sumnja u takvo objašnjenje jer autori lažnog web sajta ne samo da nude posetiocima da preuzmu lažni Tor Browser Bundle, već su i stranicu za donacije zamenili svojom bitcoin adresom.
U ovom trenutku sajt ne radi, ali sajber kriminalci koji stoje iza ovog sajta mogu se ponovo pojaviti sa lažnim web sajtom na drugom domenu.
Izdvojeno
Lažni Gemini CLI i Claude Code sajtovi šire infostealer malvere
Istraživači kompanije EclecticIQ otkrili su novu kampanju u kojoj napadači koriste lažne sajtove koji se predstavljaju kao Google Gemini CLI i Ant... Dalje
Besplatna horor igra na Steamu pretvorila se u horor za igrače: malver krao lozinke i podatke iz kripto novčanika
Besplatna horor igra Beyond The Dark uklonjena je sa Steama nakon što su korisnici otkrili da je sadržala malver za krađu lozinki, podataka iz preg... Dalje
Ugašen servis za digitalno potpisivanje malvera koji je zloupotrebljavao Microsoftovu platformu
Microsoft je saopštio da je ugasio malware-signing-as-a-service (MSaaS) operaciju koja je zloupotrebljavala kompanijin Artifact Signing servis za gen... Dalje
MiniPlasma: stara ranjivost Windowsa ponovo aktuelna
Istraživač bezbednosti poznat pod pseudonimom Nightmare-Eclipse objavio je proof-of-concept exploit pod nazivom MiniPlasma, koji omogućava napadač... Dalje
Hakovan sajt popularnog JDownloadera, korisnici preuzimali trojanizovane instalere
Popularni menadžer za preuzimanje JDownloader nakratko je postao kanal za distribuciju malvera nakon što su napadači kompromitovali zvanični sajt ... Dalje
Pratite nas
Nagrade
Prijatelji
