Вредоносный выходной узел Tor, расположенный на территории РФ, может быть связан с создателями бэкдора MiniDuke. Согласно данным ИБ-экспертов из F-Secure, используемый вирус не является версией MiniDuke. Наоборот, он представляет собой новое вредоносное ПО, в связи с чем и получил название OnionDuke.
Когда пользователь пытается скачать программу через вредоносный выходной узел Tor, то вместо желаемого продукта на компьютер устанавливается “адаптер”. Последний устанавливает и оригинальную программу, и вредоносную. Как уверяют специалисты, используя отдельный “адаптер” вирусописатели могут обойти любую проверку целостности, которая может быть встроена в ПО.
Помимо записи всех файлов оригинального исполняемого модуля, OnionDuke также запускает инсталляцию вредоносной части скачанного файла. После этого вирус пытается связаться с подконтрольными злоумышленникам URL-адресами. Несмотря на то, что ресурсы выглядят подлинными, они скомпрометированы. В случае успешного соединения с URL-адресами вирус скачивает дополнительные вредоносные компоненты на инфицированный компьютер.
Осуществив данную атаку, вирусописатели могут похитить важную информацию, в том числе учетные данные, сведения об ОС/ПО и пр. По словам ИБ-экспертов, о том, что вредоносная кампания связана с MiniDuke, свидетельствует попытка вируса связаться с доменом, зарегистрированным в 2011 г. владельцем ресурсов, задействованных в атаках с MiniDuke. (F-Secure/NovostIT)