Un sacco di ransomware e malware utilizzano servizi Web profondi per ottenere la loro chiave. Mi chiedevo se portassero con loro il browser Tor o se usassero qualche altra tecnica, dato che non penso che tutti abbiano installato Tor sul loro sistema.
I malware che devono accedere a un sito Web nella rete Tor spesso utilizzano un servizio Tor2web .
Questi servizi gratuiti ti consentono di collegarti a un sito di cipolle con il tuo normale browser. Forniscono un gateway per la rete Tor su HTTP o HTTPS e si connettono a Tor stessi. In questo modo, il malware non ha bisogno di venire con un client Tor in piena regola.
Uno dei domini Tor2web più popolari è onion.to . In pratica puoi aggiungere l'estensione .to a quasi tutti i link a cipolla per accedervi dalla clearnet. Ad esempio, uno specchio di Wiki nascosto è accessibile in questo modo:
https://zqktlwi4fecvo6ri.onion.to
/wiki/index.php/Main_Page
Mentre Tor2web è semplice, ci sono anche casi in cui il ransomware induce le vittime a scaricare manualmente il browser Tor e alcuni malware utilizzano le attuali componenti Tor per oscurare la loro comunicazione C & C:
Malware can just as easily use Tor as anyone else. In the second half of 2013, we saw more malware making use of it to hide their network traffic. In September, we blogged about the Mevade malware that downloaded a Tor component for backup command and control (C&C) communication. In October 2013, Dutch police arrested four persons behind the TorRAT malware, a malware family which also used Tor for its C&C communication. [...]
In the last weeks of 2013, we saw some ransomware variants that called itself Cryptorbit that explicitly asked the victim to use the Tor Browser (a browser bundle pre-configured for Tor) when paying the ransom.
Leggi altre domande sui tag malware tor ransomware