Se distribuye a través de un enlace presente en la descripción de un vídeo
Un popular canal de YouTube en idioma chino surgió como un medio para distribuir una versión troyanizada de un instalador de Windows para el navegador Tor.
Kaspersky denominó la campaña OnionPoison, con todas las víctimas ubicadas en China. La escala del ataque sigue sin estar clara, pero la compañía rusa de ciberseguridad dijo que detectó víctimas que aparecían en su telemetría en marzo de 2022.
La versión maliciosa del instalador del Navegador Tor se distribuye a través de un enlace presente en la descripción de un video que se subió a YouTube el 9 de enero de 2022. Se ha visto más de 64.500 veces hasta la fecha.
El canal que aloja el vídeo tiene 181.000 suscriptores y afirma tener su sede en Hong Kong. El vídeo todavía está disponible para verlo en la plataforma de redes sociales al momento de escribir.
El ataque se basa en el hecho de que el sitio web real del Navegador Tor está bloqueado en China, engañando así a los usuarios desprevenidos que buscan "Tor浏览器" (es decir, Navegador Tor en chino) en YouTube para que descarguen potencialmente la variante maliciosa.
Al hacer clic en el enlace, se redirige al usuario a un ejecutable de 74 MB que, una vez instalado, está diseñado para almacenar el historial de navegación de los usuarios y los datos ingresados en los formularios del sitio web.
"Más importante aún, una de las bibliotecas incluidas con el navegador Tor malicioso está infectada con software espía que recopila varios datos personales y los envía a un servidor de comando y control", dijeron los investigadores de Kaspersky Leonid Bezvershenko y Georgy Kucherin.
La biblioteca armada freebl3.dll logra esto al establecer contacto con un servidor remoto que responde con una carga útil de segunda etapa que contiene el software espía, pero solo cuando la dirección IP de la víctima se origina en China.
El módulo de software espía proporciona además la funcionalidad para filtrar una lista de software instalado y procesos en ejecución, historiales de navegador, ID de cuenta de WeChat y QQ de las víctimas, además de ejecutar en la máquina de la víctima comandos de shell arbitrarios.
Lo notable del servidor de comando y control (torbrowser[.]io) es que es una réplica visual del sitio web original del Navegador Tor y sus enlaces de descarga conducen al portal legítimo del Navegador Tor.
Además, a diferencia de otros ladrones de información, OnionPoison no está diseñado para recopilar contraseñas de usuario, cookies de sesión o datos de billetera. Más bien, la idea parece ser identificar a las víctimas a través de sus historiales de navegación, ID de cuentas de redes sociales y SSID de redes Wi-Fi.
El desarrollo se hace eco de otra campaña en la que los jugadores que buscan trucos y grietas en YouTube son dirigidos a videos que contienen enlaces a un archivo malicioso que distribuye ladrones de información y mineros de criptomonedas. Desde entonces, Google ha cancelado los canales pirateados.
En un comunicado, Tor Project dijo que envió una solución para resolver el problema, señalando que los usuarios de la versión modificada del navegador serán redirigidos al repositorio oficial cuando soliciten una actualización.
"Básicamente, este navegador Tor 'envenenado' modifica la URL de actualización para que no se pueda actualizar normalmente", dijo la organización sin fines de lucro. "Lo que hicimos fue agregar una redirección para responder a la URL modificada. De esta manera, cuando las personas actualicen este Navegador Tor modificado, serán redirigidos a la URL de actualización oficial".
