Стало известно, что большинство авторов вредоносного ПО используют анонимную сеть Tor для скрытия реального местоположения своих серверов.
Об этом рассказали сотрудники компании Eset, которые всё чаще стали обнаруживать C&C сервера, работающие по протоколу The Tor Hidden Service. Благодаря этому протоколу, авторы всяческих вирусов устанавливают на свои сервера специальное ПО, после чего обращаться к ним можно только из псевдо-доменного пространства .onion.
Определить местоположение сервера, расположенного в этой сети, практически нереально. Трафик между клиентом и сервером маршрутизируется случайным образом через целую сеть шлюзов. При этом, в роли шлюза может выступать не только специальный узел, но и обычный ПК.
Использование сети Tor для размещения C&C серверов не является чем-то новым, но до недавнего времени на практике такая возможность практически не использовалась. За последние три года было известно только об одном подобном сервере – один из управляющих серверов бот-нет сети Skynet.
На сегодняшний же день, активность по протоколу Tor значительно возросла. Эксперты говорят уже о двух вредоносах, обнаруженных за последний месяц, которые были основаны на коде Win32/Atrax и Win32/Agent.PTA.
Такое вредоносное ПО ориентировано на перехват пользовательских данных, которые вносятся в веб-формы.