Josh Pitts com Leviathan Security descobriu um "nó de saída" para o Rede TOR que está atualmente localizado na Rússia e foi usado para distribuir uma versão modificada do código legítimo que o usuário solicitou.
Para se tornar anônimo, As conexões TOR passam por vários servidores que retransmitem a mensagem de forma criptografada até chegarem a um nó de saída que se comunica diretamente com o destino.
Esse tipo de servidor foi usado para distribuir binários corrigidos que foram usados para atividades maliciosas. Conforme o usuário emite a solicitação de download, ele receberia um executável adulterado, caso a conexão tenha sido estabelecida através do nó de saída Tor russo em questão.
Ignorando Varificação
Pitts explica que um grande número de binários são hospedados sem lucrar com a criptografia TLS. Grande parte deles não são assinados, para que não fossem modificados em trânsito. Em tais casos, os hackers podem usar a abordagem man-in-the-middle para interceptar a solicitação do usuário e retornar um arquivo diferente do esperado pelo usuário, e fazer isso sem levantar suspeitas.
O pesquisador levou cerca de uma hora para encontrar um nó de saída prejudicial, uma vez que ele recorreu ao TOR. Os especialistas analisaram mais de 1,110 servidores de saída, e aquele que Pitts descobriu parece estar corrigindo quase todos os binários que ele tentou baixar. Alegadamente, a nota corrige somente arquivos PE não compactados.
Pitts acha que o binário original está empacotado com um segundo e que os hackers encontraram uma maneira de preservar o ícone do arquivo. Desta forma, os cibercriminosos podem contornar os mecanismos de autoverificação no caso do NSIS.
→O que o Nullsoft Scriptable Install System faz é criar instaladores para a plataforma Windows.
Problemas de segurança do TOR
Para limitar os riscos, os desenvolvedores são aconselhados a entregar seus binários por meio de uma conexão criptografada. Os usuários devem certificar-se de que o hash do arquivo que baixaram é o mesmo do original. Isso deve ser feito antes de executar o programa.
O Projeto TOR é alertado sobre o problema, e o servidor de retransmissão está com a bandeira vermelha, alertando os usuários para não se conectarem por meio dele.