Сеть Tor, может, и предназначена для прикрытия пользователей, которым требуются средства для сохранения приватности онлайн, но она также оказалась привлекательным укрытием для интернет-злоумышленников.

Несколько вредоносных кампаний успешно применили Tor, используя анонимную сеть в качестве инфраструктуры связи, для пересылки украденных данных и инструкций ботам от сервера управления и контроля. Тем не менее факт, что мы слышим об этих кампаниях все больше, также означает, что их стало легче найти.

Последняя обнаруженная кампания названа Chewbacca исследователями из Глобального центра исследований и анализа угроз «Лаборатории Касперского». Chewbacca определяет запущенные процессы на скомпрометированных машинах, считывает память процессов, устанавливает кейлоггер и отсылает информацию с зараженных компьютеров.

Марко Пройс, руководитель исследовательской группы «Лаборатории Касперского» в Европе, сообщил, что эта вредоносная программа не распространяется на публичных андеграундных форумах, в отличие от других, таких как ZeuS. Недавно исследователи «Касперского» обнаружили 64-битную версию знаменитого банковского зловреда, который использует Tor в качестве канала связи.

«Может быть, он находится в стадии разработки либо предназначен для приватного использования и распространения, — написал Пройс в блоге Securelist. — Похоже, что Tor привлекает преступников, которые используют его инфраструктуру, так как это обещает большую «безопасность» серверов управления и контроля, но в этом есть и недостатки».

Из-за шифрования, которым Tor защищает каналы между прокси-узлами, хакерам приходится бороться с повышенными усложненностью и латентностью сети. Кроме того, хакеры, содержащие ботнет на Tor, сильно рискуют быть обнаруженными из-за того, что увеличение объема трафика может замедлить сеть и уведомить наблюдателей о том, что что-то неладно.

Именно так случилось с ботнетом Mevade. Исследователи предполагают, что банда Mevade перевела ботнет в Tor для того, чтобы защититься от его разрушения правоохранительными органами, но все, чего они добились, — многократный рост трафика Tor в течение буквально одной ночи, что позволило участникам проекта Tor узнать об их незаконной деятельности.

Исследователи из «Касперского» не сообщили ни как они обнаружили Chewbacca, ни как он распространяется. Вредоносная программа является исполняемым файлом PE32, скомпилированным Free Pascal 2.7.1, его 5-мегабайтный файл содержит код Tor. Зловред, будучи запущенным, записывает файл spoolsv.exe в папку автозапуска машины жертвы. Как рассказал Пройс, он, в свою очередь, запускает свой кейлоггер и сохраняет сведения обо всех нажатых клавишах в лог-файл, созданный зловредом.

Затем троянец полагается на два PHP-скрипта, извлекающих информацию с зараженного компьютера и отправляющих ее злоумышленнику, несмотря на то что из них на данный момент работает только один.

Пройс сообщил, что сервер управления и контроля также располагается в Tor-домене .onion. Фронт-энд сервера представляет собой интерфейс входа на фоне изображения Чубакки из «Звездных войн». Антивирусные программы «Касперского» обозначают Chewbacca как Trojan.Win32.Fsysna.fej.

Вполне вероятно, существуют еще несколько вредоносных кампаний, работающих в Tor; в ходе последних исследований была обнаружена не только 64-битная версия ZeuS и Mevade, но также эксплойт-кит, известный как Atrax, который помимо кражи данных из браузера производит DoS-атаку и выполняет майнинг биткойнов.

Tor не является единственным вариантом для злоумышленников. Российские преступники использовали и другой даркнет, I2P, или Invisible Internet Project, в качестве протокола связи финансового зловреда i2Ninja. i2Ninja схож с другими банковскими троянцами тем, что обладает возможностями HTTP-внедрения, грабберами электронной почты, FTP и веб-форм, а также тем, что имеет платную круглосуточную поддержку.

Категории: Вредоносные программы