محققان موسسه امنیتی کسپرسکی بدافزاری را شناسایی کردند که در نسخه جعلی مرورگر تور مخفی شده است. این نسخه به گونهای توزیع شده که در حال حاضر به طور خاص کاربران چینی را هدف قرار میدهد.
با توجه به جزئیاتی که روز گذشته منتشر شد، این کمپین بدافزاری با نام OnionPoison از طریق ویدیویی در یوتیوب با زبان چینی که در مورد ناشناسماندن در فضای آنلاین اطلاعرسانی میکند، کاربران ناآگاه را هدف قرار میدهد. در طول دوره تحقیقات، محققان متوجه شدند که این ویدیو هنگام جستوجوی عبارت Tor浏览器 (معادل مرورگر تور در فارسی) در یوتیوب بالاتر از همه ویدیوهای دیگر ظاهر میشود.
نحوه عملکرد کمپین بدافزار OnionPoison
در زیر ویدیو و در بخش توضیحات، لینک URL کاربران را به وبسایت رسمی تور (که در چین مسدود شده است) هدایت میکند. لینک دیگری نیز کاربر را به یک سرویس اشتراکگذاری ابری منتقل میکند که از طریق آن میتوان فایل نصب تور را دانلود کرد. این فایل شامل کدهای مخرب تغییر یافته است و پس از اجرای آن، یک نسخه فعال از مرورگر تور بدون هیچ مشکلی بر روی دستگاه کاربر نصب میشود. اما مرورگر به گونهای تغییر یافته است که جزئیات تاریخچه مرور و هرگونه داده واردشده توسط کاربر را ذخیره میکند. نسخه اصلی مرورگر تور به طور پیشفرض این اطلاعات را حذف میکند.
موضوع نگرانکنندهتر این است که نسخه مخرب این مرورگر تلاش میکند تا بدافزار دیگری را از طریق یکی از سرورهای راه دور بارگیری کند. پژوهشگران میگویند که بدافزار دوم صرفا روی کامپیوترهایی با آدرس IP واقع در چین نصب میشود. هنگامی که بدافزار مرحله دوم بر روی دستگاه قربانی نصب میشود، جزئیاتی مانند GUID کامپیوتر (شماره شناسایی منحصر به فرد کامپیوتر) به همراه نام سیستم، نام کاربری فعلی و آدرس MAC (که دستگاه را در شبکه شناسایی میکند) بازیابی میکند.
تمام این اطلاعات به یک سرور راه دور ارسال میشود و طبق تحلیل کسپرسکی، این سرور میتواند اطلاعات مربوط به برنامههای نصبشده سیستم، تاریخچه مرورگر و آیدی حسابهای کاربری WeChat و QQ فعال در کامپیوتر را درخواست کند.
جزئیات کمپین بدافزار OnionPoison
این بدافزار برای شناسایی کاربر طراحی شده است و نه سرقت دادههای باارزش آنها. محققان کسپرسکی خاطرنشان کردند که برخلاف سارقان معمولی، مسئولان کمپین OnionPoison به طور خودکار رمز عبور کاربر، کوکیها یا کیف پولها را جمعآوری نمیکنند. در عوض، دادههایی را جمعآوری میکنند که میتوان از آنها برای شناسایی قربانیان استفاده کرد، مانند تاریخچه مرور، آیدی حساب شبکههای اجتماعی و جزئیات شبکه وایفای.
در واقع، بدافزار مذکور نوعی برنامه نظارتی قدرتمند و جامع است که به طور خاص کاربران چینی را هدف قرار داده است. دادههای بهدستآمده برای ایجاد پروفایلی جامع از هویت کاربر و نحوه استفاده او از اینترنت کافی است. این در حالیست که که کاربر به تصور میکرد از یکی از امنترین مرورگرهای دنیا استفاده میکند.
بهترین روش برای در امان ماندن در برابر این نوع حمله این است که نرمافزارها را فقط از منابع قابلاعتماد و رسمی دانلود کنید. البته سانسور گسترده اینترنت این کار را برای بسیاری از کاربران دشوار میکند. بهطور پیشفرض، دولت چین دسترسی به طیف عظیمی از وبسایتهایی را که ممکن است اطلاعات انتقادی حزب کمونیست حاکم را توزیع کنند، از جمله برنامههای کاربردی اساسی مانند توییتر، اینستاگرام و جیمیل مسدود کردهاست. در هرحال، به شما توصیه میکنیم حتی در وضعیت فعلی و محدودیتهایی که رابطه با دسترسی به پلتفرمهای رسمی وجود دارد، سراغ دانلود اپلیکیشنها ازطریق لینکهای متفرقه نروید.
توسط 
نسخه کامپیوتر که خیلی آدم باید پرتاب باشه تا این مشکل براش پیش بیاد
بیشتر نرم افزارها Sign شده هستن اگه Signature معتبر OK باشه صد در صد از پابلیشر تا شما تغییر نکرده
فایل نصب تور با این Signature که از DigiCert گرفته Sign شده:
CN=”The Tor Project, Inc.”, O=”The Tor Project, Inc.”, L=Seattle, S=Washington, C=US