در اوایل این ماه، کارشناسان کسپرسکی گزارش مفصلی درباره تهدیدی منتشر کردند که آن را OnionPoison نامیدند. آنها کدهای مخربی را کشف کردند که از طریق ویدیوی YouTube توزیع می شد. این ویدیو برای وبگردیِ خصوصی از مرورگر Tor استفاده می‌کرد.

این مرورگر نسخه اصلاح شده مرورگر فایرفاکس است ( با حداکثر تنظیمات حریم خصوصی). اما مهمترین ویژگی آن این است که می تواند تمام داده های کاربر را از طریق شبکه The Onion Router هدایت کند. داده ها به صورت رمزگذاری شده از طریق چندین لایه سرور منتقل می شوند، جایی که با داده های سایر کاربران شبکه ترکیب می شوند. این روش حریم خصوصی را تضمین می کند: وب سایت ها فقط آدرس آخرین سرور در شبکه Tor را می بینند و نمی توانند آدرس IP واقعی کاربر را ببینند.

اما این همه چیز نیست. شبکه Tor همچنین می تواند برای دور زدن دسترسی محدود به سایت های خاص استفاده شود. به عنوان مثال، در چین، بسیاری از منابع اینترنتی "غربی" مسدود شده اند، بنابراین کاربران برای دسترسی به آنها به راه حل هایی مانند Tor مراجعه می کنند. اتفاقاً یوتیوب به طور رسمی در چین نیز در دسترس نیست، بنابراین، طبق تعریف، این ویدیو برای کسانی است که به دنبال راه هایی برای دور زدن محدودیت ها هستند. این احتمال وجود دارد که این به هیچ وجه تنها روش توزیع بدافزار OnionPoison نبوده و پیوندهای دیگری در منابع داخل چین قرار داده شده باشد.

به طور معمول، کاربر می تواند مرورگر Tor را از وب سایت رسمی پروژه دانلود کند. با این حال، این سایت در چین نیز مسدود شده است، بنابراین هیچ چیز غیرعادی در مورد افرادی که به دنبال منابع دانلود جایگزین هستند وجود ندارد. خود ویدیوی یوتیوب نحوه پنهان کردن فعالیت آنلاین با استفاده از Tor را توضیح می دهد و یک پیوند در توضیحات داده شده است. به یک سرویس میزبانی فایل ابری چینی اشاره می کند. متأسفانه نسخه مرورگر Tor واقع در آنجا به نرم افزار جاسوسی OnionPoison آلوده شده است. بنابراین، به جای حفظ حریم خصوصی، کاربر دقیقاً برعکس آن را دریافت می کند: تمام داده های او فاش می شود.

آنچه مرورگر Tor آلوده در مورد کاربر می داند؟

نسخه آلوده مرورگر Tor فاقد امضای دیجیتال است چیزی که باید برای کاربری که دغدغه ی امنیت دارد یک نشانه خطر باشد.. در هنگام نصب چنین برنامه ای، سیستم عامل ویندوز اخطاری در این زمینه نمایش می دهد. طبیعتاً نسخه رسمی مرورگر Tor دارای امضای دیجیتال است. محتویات توزیعی در بسته آلوده، با این حال، تفاوت بسیار کمی با اصلی دارد. اما تفاوت های جزئی هم بسیار مهم هستند.

برای شروع، در مرورگر آلوده، برخی تنظیمات مهم در مقایسه با مرورگر Tor اصلی تغییر کرده است. برخلاف نسخه واقعی، نسخه مخرب تاریخچه مرورگر را به خاطر می سپارد، کپی‌های موقتی از سایت‌ها را در رایانه ذخیره می‌کند و به طور خودکار اعتبار ورود و همه داده‌های وارد شده در فرم‌ها را ذخیره می‌کند. چنین تنظیماتی همین الانش هم باعث خدشه دار شدن حریم خصوصی شده‌اند اما حالا شرایط حتی بدتر نیز شده است!

یکی از آرشیوهای کلیدی تور/فایرفاکس با کد مخرب جایگزین شده بود. این –در صورت لزوم- آرشیو اورجینال را برای فعال نگه داشتن آرشیو فرامی خواند. و در استارت آپ نیز این سرور c2 را خطاب قرار می دهد؛ جایی که در آن سایر برنامه های مخرب دانلود و اجرا می شوند. افزون بر این، مرحله بعدی حمله به کاربر تنها زمانی رخ می دهد که آدرس آی پی واقعی به لوکیشن چین اشاره داشته باشد. این مرحله دوم حمله با اطلاعات جزئی تر در مورد کاربر، مهاجمین را در حمله شان بیشتر کمک می‌کند:

این "مرحله دوم" حمله به سازمان‌دهندگان حمله اطلاعات دقیق بیشتری را در مورد کاربر ارائه می‌دهد، به ویژه:

1.اطلاعات مربوط به رایانه قربانیان و برنامه های نصب شده آنها.

2.تاریخچه مرور آنها ، نه تنها در مرورگر Tor، بلکه در سایر مرورگرهای نصب شده در سیستم، مانند Google Chrome و Microsoft Edge.

3.اطلاعات شناسه‌های شبکه‌های Wi-Fi که به آن‌ها متصل می‌شوند .

4.اطلاعات داده های حساب در پیام رسان های محبوب چینی QQ و WeChat.

از چنین جزئیاتی می توان برای مرتبط کردن هر فعالیت آنلاین با یک کاربر خاص استفاده کرد. داده‌های شبکه Wi-Fi حتی می‌توانند موقعیت مکانی آن‌ها را به‌طور دقیق مشخص کنند.

خطرات حریم خصوصی

OnionPoison به این دلیل نامگذاری شده است که اساسا حریم خصوصی ارائه شده توسط نرم افزار The Onion Router را از بین می برد. عواقب آن واضح است: تمام تلاش ها برای پنهان کردن فعالیت آنلاین شما، برعکس، آن را برای مهاجمان آشکار می کند. جالب اینجاست که بر خلاف بسیاری از بدافزارها از این نوع، OnionPoison برای سرقت رمزهای عبور کاربران را اذیت نمی کند. سازمان دهندگان به وضوح نیازی به آنها ندارند: تنها هدف از حمله نظارت است.

حتی اگر مجبور نباشید از مرورگر Tor برای محافظت از حریم خصوصی خود استفاده کنید (در بیشتر موارد، یک برنامه VPN معمولی کافی است)، مطالعه و تحقیق در مورد بدافزارOnionPoison دو درس مفید برای محافظت در برابر فعالیت های مخرب ارائه می دهد. ابتدا فقط نرم افزار را از سایت های رسمی دانلود کنید. برای کسانی که خواهان تایید بیشتر هستند، بسیاری از توسعه دهندگان نرم افزار به اصطلاح چک سام ها را منتشر می کنند. نوعی آی دی از نصب واقعیِ برنامه. شما می توانید چک سام را برای توزیعی که دانلود کردید محاسبه کنید تا مطمئن شوید با اورجینالش مطابقت دارد. در مورد OnionPoison کاربران باید از منابع غیررسمی مرورگر تور را دانلود می کردند زیرا سایت رسمی مسدود شده بود. در چنین وضعیت هایی اعتبارسنجی چک سام بسیار کمک کننده است.اما، همانطور که در بالا ذکر کردیم، توزیع یک پرچم قرمز دیگر داشت: عدم وجود امضای دیجیتالی قانونی. اگر ویندوز چنین هشداری را نشان می دهد، بهتر است قبل از اجرای برنامه همه چیز را دوباره بررسی کنید. یا اصلا آن را اجرا نکنید.

حالا برای درس دوم که از درس اول نشات می گیرد. هرگز برنامه ها را از لینک های یوتیوب دانلود نکنید! ممکن است استدلال کنید که OnionPoison فقط برای مردم چین یک تهدید است، و به نظر می رسد کسانی که در سایر کشورها هستند تحت تأثیر قرار نگرفته باشند. اما در حقیقت این تنها حمله ای نیست که برای فریب کاربران ساده از شبکه های اجتماعی به عنوان دام استفاده می کند. گزارش دیگر کسپرسکی نشان می‌دهد مجرمان سایبری حتی سراغ دستگاه گیمرها نیز رفته اند و داده هایشان را سرقت کردند.. مهاجمان در این مورد نیز بدافزار را از طریق یوتیوب توزیع کردند. علاوه بر این، بدافزار کانال یوتیوب خود قربانی را به خطر انداخت و همان ویدیو را با یک پیوند مخرب در آنجا پست کرد.

حملات مبتنی بر یوتیوب تا حدی با اولویت بندی ویدیوها توسط گوگل در نتایج جستجو کمک می کند. حملاتی از این دست نمونه دیگری از این است که چگونه می توان از منابع معمولی و به ظاهر امن سوء استفاده کرد. حتی کاربرحرفه ای هم نمی تواند همیشه لینک واقعی را از لینک آلوده تمیز دهد. چنین اتفاق های ناگوار زندگی دیجیتال براحتی می‌توانند با نصب یک راهکار امنیتی با کیفیت بالا مدیریت شوند. حتی اگر خودتان لحظه ای کنترل دیجیتال را از دست دادید چنین نرم افزارهای امنیتی می‌توانند سر بزنگاه تهدید را شناسایی و بلاک کنند.آنتی ویروس کسپرسکی داری  قابلیت شناسایی لینکهای آلوده به بدافزار می باشد و بهترین راهکار امنیتی در این زمینه می باشد.

شرکت شبکه رسام دوراندیش برای کمک به محافظت از دستگاه های سازمان و مجموعه شما ، در هر کجا و هر ابعادی که هستید انواع آنتی ویروس های تحت شبکه و سازمانی کسپرسکی را با هر قابلیتی که بخواهید را در دسترس شما عزیزان قرار می دهد .مجموعه مهندسی شبکه رسام دوراندیش نماینده رسمی فروش آنتی ویروس Kaspersky با قابلیت ارائه پشتیبانی رایگان و 24 ساعته می باشد .