Vervalste Tor-browser bevat malware

Een student heeft een website ontdekt waarop een vervalste Tor-browser wordt aangeboden. Met de malware kunnen onder andere heimelijk screenshots worden gemaakt. De vermoedelijke makers claimen met de vervalste software pedofielen te willen opsporen.

Op een vervalste website, die sterk lijkt op de officiële site van het Tor Project, werd een Windows-executable aangeboden waarin een vervalste Tor-browserbundel was opgenomen. Op het moment van schrijven is de executable niet meer te downloaden. De vervalste browser lijkt als twee druppels water op de officiële Tor-browser en stelt de gebruiker in staat om 'anoniem' op het Tor-netwerk te surfen, maar de malware bevat ook diverse methoden om de gebruiker te bespioneren, ontdekte informaticastudent Julien Voisin.

De malware is onder andere in staat om bestanden te up- en downloaden, screenshots te maken, systeemcommando's uit te voeren en nieuwe netwerkverbindingen te leggen. De makers hebben de valse Tor-browser ook een updatemechanisme meegegeven. Daarvoor wordt gecommuniceerd met een Tor-server.

Voisin slaagde er naar eigen zeggen in om contact te leggen met de makers van de malware, die wellicht vanuit China opereren. Zij claimen de software en de website te gebruiken om pedofielen te traceren die op het Tor-netwerk actief zijn. Ze zouden de links plaatsen op fora waar pedofielen vertoeven. Voisin hecht echter weinig waarde aan deze claim, mede omdat de link naar het bitcoinadres bij de donatieoptie op de vervalste site is veranderd.

Door Dimitri Reijerman

Redacteur

Feedback • 14-08-2014 15:34 31

14-08-2014 • 15:34

31

Lees meer

Tor Project brengt bètaversie van zijn off-the-record-messenger uit
Tor Project brengt bètaversie van zijn off-the-record-messenger uit Nieuws van 30 oktober 2015
'Aanvallers gebruiken zeventig exit-nodes voor afluisteren Tor-maildienst'
'Aanvallers gebruiken zeventig exit-nodes voor afluisteren Tor-maildienst' Nieuws van 27 april 2015
Critici beschuldigen makers van populaire Tor-router van oplichterij
Critici beschuldigen makers van populaire Tor-router van oplichterij Nieuws van 16 oktober 2014
Websites gebruiken canvastekening voor trackingdoeleinden - update
Websites gebruiken canvastekening voor trackingdoeleinden - update Nieuws van 22 juli 2014
Tor Project komt met nieuwe anonieme messagingdienst voor pc's en Macs
Tor Project komt met nieuwe anonieme messagingdienst voor pc's en Macs Nieuws van 28 februari 2014
FBI heeft toegang tot alle accounts anonieme webmaildienst TorMail
FBI heeft toegang tot alle accounts anonieme webmaildienst TorMail Nieuws van 27 januari 2014
'Pirate Bay wil site-blokkades omzeilen via p2p-app'
'Pirate Bay wil site-blokkades omzeilen via p2p-app' Nieuws van 6 januari 2014
TorSearch doorzoekt verborgen Tor-sites
TorSearch doorzoekt verborgen Tor-sites Nieuws van 12 oktober 2013
NSA en GCHQ misbruiken Firefox-bugs om Tor-gebruikers te volgen
NSA en GCHQ misbruiken Firefox-bugs om Tor-gebruikers te volgen Nieuws van 4 oktober 2013
'Stijging Tor-verkeer komt door botnet'
'Stijging Tor-verkeer komt door botnet' Nieuws van 5 september 2013
Aantal Tor-gebruikers stijgt plotseling snel
Aantal Tor-gebruikers stijgt plotseling snel Nieuws van 29 augustus 2013
Beheerders van The Pirate Bay brengen eigen browser uit
Beheerders van The Pirate Bay brengen eigen browser uit Nieuws van 11 augustus 2013
Meer producten en artikelen
Netwerk en systeembeheer Tor

Reacties (31)

-Moderatie-faq
31
27
12
0
0
9
Wijzig sortering

Sorteer op:

Weergave:
Verwijderd 14 augustus 2014 15:52
Zo vang je geen internet misbruikers. Een exitnode kan alles zien wat je er via mee doet, zo kan je dit soort mensen opsporen en hun surfgedrag registreren zonder dat je met eigen trojans hoeft te werken.

De pedo kaart trekken is tegenwoordig te vaak gedaan en heeft zijn effect verloren, is ook niet geloofwaardig, zeker niet vanuit China.

[Reactie gewijzigd door Verwijderd op 28 juli 2024 00:21]

i7x @Verwijderd14 augustus 2014 15:55
Complete onzin. Exitnodes kunnen niets zien van verkeer via .onion sites. Juist daar zijn natuurlijk de meest onfrisse dingen te vinden.
Verwijderd @i7x15 augustus 2014 08:55
Nou nou nou, "complete onzin" zelfs! Je hoeft me niet te geloven uiteraard. Als jij het niet kan zien, wil dat niet zeggen dat niemand dat kan.
svenslootweg @Verwijderd15 augustus 2014 11:50
Als je gaat roeptoeteren dat "er vast wel iemand is die de beveiliging/encryptie kan omzeilen" (wat toch wel de implicatie in je post lijkt te zijn), dan heeft het ook geen zin meer om specifiek over exit nodes te gaan praten. Vanuit een beveiligingstechnisch oogpunt kunnen exit nodes niets meelezen van hidden-service-traffic; dat is nu juist het punt.
Bonez0r @svenslootweg15 augustus 2014 18:28
Jullie praten langs elkaar heen. Jij hebt het duidelijk over hidden services (servers/websites die zich binnen het onion netwerk bevinden (adressen eindigen op .onion) en waarvan verkeer dus niet over een exit node gaat), terwijl HardcoreHacker het heeft over verkeer tussen een Tor browser en een 'clearnet' site (site op het 'gewone' web). Inderdaad zou ik niet weten hoe een node kan zien wat er precies tussen een Tor browser en een hidden service gebeurt, aangezien het verkeer dat over de node gaat encrypted is. Maar goed, een NSA zal vast wel een methode hebben, een zero-day exploit of zo.

[Reactie gewijzigd door Bonez0r op 28 juli 2024 00:21]

asing
@Verwijderd14 augustus 2014 16:13
Exitnodes zien alleen verkeer wat weer het open net op gaat. Al het verkeer wat naar onion sites gaat, blijft binnen het netwerk en pingpongt een paar keer tussen relay nodes. Die nodes zien niets omdat het interne verkeer versleuteld is.

Dit soort darknets is een probleem voor opsporingsdiensten omdat opsporing erg moeilijk is. Dat wil niet zeggen dat het onmogelijk is, maar men moet het hebben van bijzaken. Dit kan zijn het volgen van de money trail, de goods trail, het hacken van de server zodat je het werkelijke IP adres krijgt etc.

Kortom, allemaal speldeprikjes om bang te maken. Men stapt even over het feit heen dat een deel van onze nieuwsvoorziening vanuit gecontroleerde gebieden via ToR komt. Het enige waar men aan denkt is de terrorist (wisten jullie dat Bin Laden niet eens een teleefoon had) en de plaatjeskijkende pedo. Het resultaat van al die inbreuken op ieders privacy levert tot nu toe heel weinig resultaat op.
casparvl 14 augustus 2014 18:01
De link in dit artikel is naar een blog van iemand die deze malware gedisassembled heeft en daarmee een aantal dingen aan de weet is gekomen over deze malware. Wat ik bijzonder vind: het is geschreven in .NET en (ben geen expert op dit gebied) wat ik kan vinden is .NET relatief eenvoudig in leesbare code te disassemblen. Voor C++ is dit veel moeilijker. Waarom dan toch in .NET je malware schrijven? Ik kan me voorstellen dat dat misschien gedaan is omdat de oorspronkelijke TOR code ook in .NET was, maar dan nog...
MSalters @casparvl14 augustus 2014 18:53
.Net is goed genoeg. Iedereen die de technische capaciteiten heeft om .Net te disassemblen is per definitie al geen doel van dit soort malware. Tor draaien buiten een sandbox? Tsk.
casparvl @MSalters14 augustus 2014 20:22
Ik snap dat die persoon niet de target is, maar er hoeft er maar één te zijn die het ontleed en die kan een fix uitbrengen om de malware onklaar te maken. Daarbij: ik weet niet of je de blog gelezen hebt, maar hij heeft dus actief contact weten te krijgen met de makers van de malware, door contact op te nemen met dezelfde server als waarmee de malware contact zoekt. Ik kan me toch niet voorstellen dat een dergelijke traceerbaarheid gewenst is voor een maker van malware...

Daarbij, wat ik begrijp is .NET te disassemblen tot behoorlijk leesbare source code (in C# volgens mij). Zie bijv. https://www.youtube.com/watch?v=tjfr6oHiXgA
Tuurlijk, je oma zal het niet kunnen, maar iedereen met verstand van programmeren wel. Het is niet zo ondoorzichtig als assembly code moeten lezen, wat het geval is bij disassembled C++ code.
Verwijderd 14 augustus 2014 16:17
"Their server is a stack of outdated crap, proudly powered by cPanel, feel free to root them for more details."

Prachtig artikel om te lezen :)
(link naar de blog in dit tweakers artikel)
JohanNL 14 augustus 2014 20:02
Mooie reden, pedofielen opsporen, stiekem stelen ze ook andere persoonlijke gegevens en verkopen het door!
biglia @JohanNL14 augustus 2014 20:48
Pedofielen aangeven zullen ze nooit gebeuren aangezien ze zelf strafbaar bezig zijn. Ik denk eerder aan afpersing. Verder zullen ze ook wel bitcoins willen jatten, want veel mensen die op Tor zitten hebben ook bitcoins.
QuZyX 14 augustus 2014 15:47
Mochten we alle kennis die voor dergelijke wanpraktijken gebruikt worden bundelen en deze spenderen aan goede, verantwoorde research... het zou wat geven ! :)

Maar goed, we don't live in a perfect world... Just look at the news these days... :(
Mrten 14 augustus 2014 17:48
En daar gaat het hele idee van TOR.
Verwijderd 14 augustus 2014 21:03
Dat is natuurlijk ook wel weer een geinig aspect van open source software: voor kwaadwillenden is het heel makkelijk om er rommel in te verwerken. Als je eerst een hele browser moet schrijven omdat er alleen maar closed source sw is, is dat ook niet leuk meer.
coolbvrobin 14 augustus 2014 18:44
is er te ontdekken als je een valse tor hebt op een makkelijke manier?
Bonez0r @coolbvrobin15 augustus 2014 18:35
Als je de Tor browser van de officiële site hebt dan zit je veilig.
makkie88 14 augustus 2014 15:38
ik dacht eigenlijk gelijk: NSA praktijken!
Huismus @makkie8814 augustus 2014 15:50
NSA is veel professioneler dan dit (meestal). Maar wie zou dit dan doen? Misschien toch wel de NSA, niet zozeer om Tor-gebruikers te vinden, maar Tor-gebruikers de indruk te geven dat er soms wel eens iets flink mis is met hun netwerk? Als dat zo is, dan helpt Tweakers lekker me ;)
kaya.md @Huismus14 augustus 2014 17:44
Je kunt de mogelijkheid toch niet ontkennen?
Mavamaarten @kaya.md14 augustus 2014 18:03
Heb je de code bekeken? Met zulke dingen houdt de NSA zich niet bezig. Een zielig .Net droppertje waarvan je het password in no-time in handen hebt enzo. De NSA geeft wel geld uit aan personen die er iets van kennen.

Btw, ik snap niet waarom de auteur ervan uitgaat dat deze persoon/personen uit China komen. Niets in de malware wijst daarop?
Verwijderd @Mavamaarten14 augustus 2014 18:45
We beschikken niet over de gehele conversatie en je mag bijna wel aannemen dat er een reden is dat er rekening mee gehouden word dat de groepering/ of persoon vandaan komt.
De auteur houd in ieder geval een slag om de arm.
kaya.md @Mavamaarten14 augustus 2014 22:10
Ik en de meesten zoals ik weten niet waar zij zich mee bezighouden. Ik ga ervan uit dat niet elke Tor gebruiker de code erop gaat nakijken.
svenslootweg @Mavamaarten15 augustus 2014 11:46
Met zulke dingen houdt de NSA zich niet bezig. Een zielig .Net droppertje waarvan je het password in no-time in handen hebt enzo. De NSA geeft wel geld uit aan personen die er iets van kennen.
De NSA is echt niet immuun tegenover de gebruikelijke office politics die ervoor zorgen dat incompetente medewerkers bij een project betrokken raken. Dat zou toch wel duidelijk moeten zijn uit o.a. het intern misbruiken van NSA-data voor persoonlijke doeleinden.
Verwijderd @makkie8814 augustus 2014 16:42
je bedoelde dan toch zeker de chinese geheime dienst....
Atomsk @Verwijderd15 augustus 2014 04:20
Gewoon Chinese criminelen die wachtwoorden, bitcoins en persoonsgegevens willen stelen voor eigen gewin. Pedofielen traceren is gewoon een smoesje om het goed te praten nu ze ontdekt zijn.

Enfin, wanneer je software download (geeft niet welke) van verdachte sites ipv de officiële vraag je er zelf om natuurlijk.
Frank-L @Atomsk15 augustus 2014 07:55
Maar hoe weet een gemiddelde gebruiker wat de officiële site is?

Op dit item kan niet meer gereageerd worden.

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq