Trojaans paard via Tor-netwerk en torrents verspreid
De Russische Tor-node die onlangs werd ontdekt en malware aan downloads toevoegde, blijkt een Trojaans paard te hebben verspreid dat voor gerichte aanvallen was bedoeld. Daarnaast werd de malware ook verspreid via geïnfecteerde torrents, zo meldt het Finse anti-virusbedrijf F-Secure.
Het verkeer van Tor-gebruikers loopt via verschillende nodes, ook wel relays genoemd, die de locatie van de gebruiker verbergen. De laatste node is de exitnode die het verzoek van de gebruiker naar het internet doorstuurt en het antwoord terugstuurt. In het geval van de kwaadaardige Tor-exitnode werden downloads van Tor-gebruikers vervangen door een "wrapper". Deze wrapper bevatte het originele bestand en het Trojaanse paard.
Zodra de gebruiker de download opende werden zowel het Trojaanse paard als het originele bestand geïnstalleerd, waardoor de gebruiker dacht dat alles prima was verlopen. Aan de hand van de gevonden malware-exemplaren stelt F-Secure dat de aanvallers achter de malware al sinds oktober 2013 op deze manier bestanden van malware voorzien.
Sinds februari van dit jaar zou de malware zich ook op een andere manier verspreiden, namelijk torrent-bestanden. De malware werd aan illegale software toegevoegd die via torrent-sites werd aangeboden. Een opmerkelijk iets, aangezien dit twee compleet verschillende verspreidingsstrategieën zijn. "Hoewel Tor helpt om je anoniem te blijven, maakt het ook een groot doelwit van je. Het is nooit een goed idee om bestanden via Tor, of andere manieren, zonder encryptie te downloaden", aldus F-Secure.
voor een certificaat dat je vertrouwt. je zou dan nog extra moeten checken door wie het certificaat is uitgegeven, en wie
doet dat?
controleren van de hash die op een download site staat vermeld na downloaden van het bestand zou wel kunnen helpen,
maar dan moet je uiteraard die hash niet controleren via Tor want dan kan het zijn dat ze die ook aanpassen.
kortom het is gewoon niet handig om alles via Tor (of een VPN) te doen, want je plaatst gewoon je internet connectie in
handen van onbekenden die waarschijnlijk minder betrouwbaar zijn dan je eigen provider.
(afhankelijk van welke dat is)
dit soort technieken hebben hun toepassing, maar als je al je verkeer op die manier afhandelt maak je de situatie slechter,
niet beter.
er zijn mensen die een VPN gebruiken "want mijn provider kan alles loggen", maar goede kans dat je provider dat niet
doet, en je VPN wel. "wij werken niet mee met autoriteiten" dat is als statement niks waard, want ze kunnen daartoe
gedwongen worden. diverse "anonimiseringsdiensten" hebben dat al moeten doen en er zijn er diverse die toen maar
gestopt zijn.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
