Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Gói trình duyệt Tor giả mạo chứa mã độc
Sinh viên chuyên về khoa học máy tính Jullien Voisin (Pháp) đã phát hiện gói trình duyệt Tor (Tor Browser Bundle) giả mạo chứa mã độc. Tiến hành dịch ngược mã độc này, Voisin kết nối được với kẻ gian đứng sau botnet và có cuộc trò chuyện với đối tượng này.
Tor Browser Bundle là công cụ hỗ trợ sử dụng mạng ẩn danh Tor, bao gồm: chương trình Tor, Polipo, Vidalia, và một phiên bản Firefox chạy không cần cài đặt được tích hợp thành phần mở rộng Torbutton.
Trong cuộc trò chuyện, kẻ đứng sau botnet bày tỏ sự tò mò về cách thức Voisin đã sử dụng để tìm ra website giả mạo và chúc mừng thành tích của cậu sinh viên. Cuộc trò chuyện diễn ra thân thiện như hai người bạn đang thảo luận về code, ngoại trừ việc đó là code của một malware.
Sau khi nghe thông tin từ một người bạn về trang giả mạo Tor, Julien Voisin đã tiến hành dịch ngược gói trình duyệt Tor – công cụ để truy cập đến mạng ẩn danh này.
Trang giả mạo bắt chước gần như hoàn toàn trang gốc Tor, duy chỉ có phần danh sách thông báo là khác biệt. Người dùng cả tin khi vào trang có thể dễ dàng mắc bẫy nếu không chú ý tên miền (tên chính xác là: torbundlebrowser.org).
Hiện tại trang lừa đảo đã bị gỡ bỏ, tuy nhiên kẻ gian đứng sau trang này hoàn toàn có thể xây dựng lại và sử dụng một tên miền khác.
Phân tích trang web giả mạo, Voisin cho biết link kêu gọi tài trợ/ủng hộ đã được thay thế bằng 1 địa chỉ Bitcoin và người dùng được đề nghị tải về một gói dữ liệu khác. Bên cạnh đó, cậu cũng phát hiện các dấu hiệu của dữ liệu được bảo vệ cũng như việc kể xấu chạy lệnh thông qua Windows Command Prompt để đảm bảo các lệnh này không thực thi trên sandbox.
Nghiên cứu kỹ hơn, Voisin đã kết nối được với máy chủ điều khiển C&C server, và thực hiện cuộc nói chuyện đã nhắc đến ở trên.
Voisin cho biết kẻ đứng sau botnet đã cố lừa cậu bằng cách nói rằng họ là một nhóm nhỏ (có thể đến từ Trung Quốc) và đang sử dụng trang giả mạo này để bắt tội phạm tình dục trẻ em. Để minh chứng cho lời nói của mình, kẻ gian còn cho biết một tội phạm đã bị báo đến Cybertip (Tổ chức Bảo vệ Trẻ em Canada).
Tuy nhiên, ngoài việc phải có mã độc trong gói trình duyệt Tor, tin tặc cũng cần có trang tài trợ đã bị chuyển hướng đến địa chỉ Bitcoin trước đó. Nếu đây là hoạt động hợp pháp của tổ chức thực thi luật pháp thì đã không phải sử dụng trang giả mạo.
Malware được phát hiện có các tính năng: tải và cập nhật gói dữ liệu, chụp màn hình, upload dữ liệu, reboot hệ thống và khởi động lại malware.
Nguồn: Softpedia
Tor Browser Bundle là công cụ hỗ trợ sử dụng mạng ẩn danh Tor, bao gồm: chương trình Tor, Polipo, Vidalia, và một phiên bản Firefox chạy không cần cài đặt được tích hợp thành phần mở rộng Torbutton.
Trong cuộc trò chuyện, kẻ đứng sau botnet bày tỏ sự tò mò về cách thức Voisin đã sử dụng để tìm ra website giả mạo và chúc mừng thành tích của cậu sinh viên. Cuộc trò chuyện diễn ra thân thiện như hai người bạn đang thảo luận về code, ngoại trừ việc đó là code của một malware.
Sau khi nghe thông tin từ một người bạn về trang giả mạo Tor, Julien Voisin đã tiến hành dịch ngược gói trình duyệt Tor – công cụ để truy cập đến mạng ẩn danh này.
Trang giả mạo bắt chước gần như hoàn toàn trang gốc Tor, duy chỉ có phần danh sách thông báo là khác biệt. Người dùng cả tin khi vào trang có thể dễ dàng mắc bẫy nếu không chú ý tên miền (tên chính xác là: torbundlebrowser.org).
Hiện tại trang lừa đảo đã bị gỡ bỏ, tuy nhiên kẻ gian đứng sau trang này hoàn toàn có thể xây dựng lại và sử dụng một tên miền khác.
Phân tích trang web giả mạo, Voisin cho biết link kêu gọi tài trợ/ủng hộ đã được thay thế bằng 1 địa chỉ Bitcoin và người dùng được đề nghị tải về một gói dữ liệu khác. Bên cạnh đó, cậu cũng phát hiện các dấu hiệu của dữ liệu được bảo vệ cũng như việc kể xấu chạy lệnh thông qua Windows Command Prompt để đảm bảo các lệnh này không thực thi trên sandbox.
Nghiên cứu kỹ hơn, Voisin đã kết nối được với máy chủ điều khiển C&C server, và thực hiện cuộc nói chuyện đã nhắc đến ở trên.
Voisin cho biết kẻ đứng sau botnet đã cố lừa cậu bằng cách nói rằng họ là một nhóm nhỏ (có thể đến từ Trung Quốc) và đang sử dụng trang giả mạo này để bắt tội phạm tình dục trẻ em. Để minh chứng cho lời nói của mình, kẻ gian còn cho biết một tội phạm đã bị báo đến Cybertip (Tổ chức Bảo vệ Trẻ em Canada).
Tuy nhiên, ngoài việc phải có mã độc trong gói trình duyệt Tor, tin tặc cũng cần có trang tài trợ đã bị chuyển hướng đến địa chỉ Bitcoin trước đó. Nếu đây là hoạt động hợp pháp của tổ chức thực thi luật pháp thì đã không phải sử dụng trang giả mạo.
Malware được phát hiện có các tính năng: tải và cập nhật gói dữ liệu, chụp màn hình, upload dữ liệu, reboot hệ thống và khởi động lại malware.
Nguồn: Softpedia
Chỉnh sửa lần cuối bởi người điều hành: