نسخه جعلی مرورگر تور از راه رسید

نسخه‌ی جعلی مرورگر تور که ازلحاظ ظاهری تفاوتی با نسخه‌ی اصلی ندارد، با هدف شناسایی کاربران در فضای آنلاین، داده‌های حساسی نظیر ID شبکه‌های اجتماعی را جمع‌آوری می‌کند.
   
پژوهشگران مؤسسه‌ی امنیتی کسپرسکی بدافزاری را پیدا کرده‌اند که در نسخه‌ی اصلاح‌شده‌ی مرورگر تور (Tor) پنهان شده است. این مرورگر در حالت عادی، ناشناس‌ماندن کاربران در فضای مجازی را تضمین می‌کند؛ اما نسخه‌ی اصلاح‌شده مشغول جمع‌آوری اطلاعات قابل‌شناسایی درباره‌ی کاربران است. ورج می‌نویسد نحوه‌ی توزیع نسخه‌ی اصلاح‌شده‌ی تور به‌گونه‌ای است که این اپلیکیشنِ حاوی بدافزار به‌طور‌مشخص کاربران ساکن در چین را هدف قرار می‌دهد.

کارشناسان امنیتی می‌گویند که کمپین بدافزاریِ جدید با نام OnionPoison به‌ معنی سمِ پیازی ازطریق ویدئویی در یوتیوب که به زبان چینی با محوریت ناشناس‌ماندن در فضای آنلاین تهیه شده است، کاربران ناآگاه را هدف قرار می‌دهد. متخصصان کسپرسکی می‌گویند حین تحقیقات متوجه شدند که ویدئو مذکور هنگام جست‌و‌جوی عبارت Tor浏览器 (معادل مرورگر تور در فارسی) در یوتیوب بالاتر از تمامی ویدئوهای دیگر نمایش داده می‌شد.

در بخش توضیحات ویدئو یوتیوب، لینک URL کاربران را به وب‌سایت رسمی مرورگر تور انتقال می‌دهد (این وب‌سایت در کشور چین فیلتر است). لینک URL دوم به سرویس اشتراک‌گذاری ابری ارتباط دارد و ازطریق آن می‌توان فایل نصب تور را دانلود کرد. این فایل نصب را افراد سودجو اصلاح و میزبان کد مخرب کرده‌اند.

پس از نصب فایل یادشده،‌ مرورگر تور روی کامپیوتر نصب می‌شود و بدون مشکل بالا می‌آید؛ اما بدون اینکه کاربر بداند، این نسخه‌ی اصلاح‌شده‌ی تور تاریخچه‌ی وب‌گردی و تمامی داده‌های واردشده‌ی کاربر را ذخیره می‌کند. نسخه‌ی اصلی مرورگر تور به‌صورت پیش‌فرض این اطلاعات را حذف می‌کند.

موضوع نگران‌کننده‌تر این است که نسخه‌ی اصلاح‌شده‌ی تور ازطریق یکی از سرورها بدافزاری دیگر را دانلود می‌کند. پژوهشگران کسپرسکی می‌گویند بدافزار دوم صرفاً روی کامپیوترهایی نصب می‌شود که آدرس IP آن‌ها به چین ارتباط داشته باشد. دومین بدافزار پس از نصب‌شدن روی کامپیوتر فرد قربانی، به اطلاعاتی مثل GUID (شماره‌ی شناسایی منحصربه‌فرد کامپیوتر) به‌همراه نام سیستم،‌ نام کاربری فعلی و آدرس مک دسترسی پیدا می‌کند.

تمامی اطلاعات جمع‌آوری‌شده به سروری نامشخص ارسال می‌شود و براساس بررسی پژوهشگران کسپرسکی،‌ این سرور حتی می‌تواند دسترسی به داده‌های اپلیکیشن‌های نصب‌شده روی کامپیوتر، تاریخچه‌ی وب‌گردی (حتی تاریخچه‌ی نسخه‌ی جعلی تور) و ID تمامی حساب‌های کاربری WeChat و QQ فعال در کامپیوتر را خواستار شود. پژوهشگران امنیتی می‌گویند بدافزار مذکور به‌جای سرقت اطلاعات کاربران، به‌دنبال شناسایی آن‌ها است:

برخلاف سارقان معمولی، مسئولان کمپین OnionPoison به‌صورت خودکار رمزعبور یا کوکی یا جزئیات کیف‌ پول الکترونیکی کاربر را جمع‌آوری نمی‌کنند؛ بلکه داده‌هایی را جمع‌آوری می‌کنند که برای شناسایی قربانیان کاربرد دارند؛ داده‌هایی مثل تاریخچه‌ی وب‌گردی و ID حساب‌های شبکه‌های اجتماعی و جزئیات شبکه‌ی وای‌فای.

از نگاه پژوهشگران امنیتی، بدافزار جدید نوعی برنامه‌ی نظارتی قدرتمند و همه‌جانبه است که به‌طورویژه بر کاربران چینی اینترنت تمرکز دارد. داده‌های جمع‌آوری‌شده ازطریق کمپین OnionPoison به‌حدی است که می‌توان از آن‌ها به‌منظور ساخت پروفایلی مجازی برای تعیین هویت کاربران و نحوه‌ی استفاده‌ی آن‌ها از اینترنت بهره گرفت. این اتفاق در حالی رخ می‌دهد که کاربر به تصور خودش مشغول استفاده از یکی از امن‌ترین مرورگرهای دنیا است.

توصیه می‌شود نرم‌افزارها را همواره از منابع رسمی (نظیر فروشگاه‌های اپلیکیشن یا وب‌سایت رسمی شرکت‌ها) دانلود کنید و هرگز سراغ دانلود آن‌ها ازطریق لینک‌های متفرقه نروید. در شرایط فعلی، متأسفانه محدودیت‌های اینترنت دسترسی به پلتفرم‌های رسمی را بسیار دشوار کرده است؛ ازاین‌رو، بسیاری از کاربران مجبورند نرم‌افزارهای مدنظرشان را از منابع غیررسمی تهیه کنند.