Des noeuds TOR malveillants insèrent des malwares dans les exécutables

1
73

Voila une sérieuse mauvaise nouvelle pour les utilisateurs du réseau d’anonymisation TOR. En effet, un chercheur en sécurité indépendant à découvert que des nœuds TOR piégés mis en place par des cybercriminels infectent à la volée les paquets assimilés à des fichiers exécutables.

Le chercheur en sécurité Josh Pitts explique comment il a découvert un nœud TOR malveillant (un parmi tant d’autres d’après lui, ndlr) qui au lieu de relayer simplement les paquets qui y transitent, s’acharne à insérer un malware dans tous les binaires que les gens téléchargent. Il a lui-même développé un outil baptisé “The Backdoor Factory” (BDF) qui permet de patcher des binaires en mode MITM (Man in the middle, ndlr) et c’est lors de ses tests pour voir si d’autres pratiquaient ce genre de patch à la volée, qu’il est tombé là dessus :

falsenegative-tor

Le nœud TOR en question se trouve en Russie et patche tous les binaires PE (Portable-Exécutables) qui ne sont pas compressés. Il n’en a découvert qu’un sur un échantillon de 110 nœuds mais on peut facilement imaginer que ce genre de technique est un classique mis en place par des cybercriminels ou des agences gouvernementales malveillantes pour servir leurs activités.

Le malware en question ouvre tout simplement un port sur la machine cible et permet à l’attaquant d’exécuter une série de commandes à distance via HTTP. Un cheval de Troie des plus basique disons.

Pour éviter cela, une seule solution d’après ce chercheur : servir les téléchargements de binaires uniquement via SSL/TLS.

 

Source : Korben

Les commentaires sont fermés.