I ricercatori di Kaspersky hanno scoperto una campagna malevola attualmente in corso, distribuita tramite un popolare canale YouTube in lingua cinese con oltre 170.000 iscritti. I criminali informatici diffondono il malware per raccogliere i dati personali degli utenti e ottenere il pieno controllo del computer della vittima, inserendo un link a una versione infetta di Tor Browser nella barra di descrizione di un video Darknet.

Il canale conta più di 170.000 iscrizioni, mentre il numero di visualizzazioni del video con il link dannoso supera i 64.000. Gli utenti più colpiti provengono dalla Cina, ma poiché il sito web di Tor Browser è bloccato in Cina, i suoi cittadini ricorrono spesso al download di Tor da siti di terze parti. I criminali informatici sono interessati a diffondere le loro attività dannose attraverso tali risorse.

La versione analizzata di Tor Browser è configurata per essere meno privata rispetto al Tor originale. A differenza di quello legittimo, il Tor Browser memorizza la cronologia di navigazione e tutti i dati che l’utente inserisce nei moduli dei siti web e distribuisce spyware per raccogliere vari dati personali e inviarli al server degli attaccanti. Lo spyware fornisce anche la funzionalità per eseguire comandi di shell sulla macchina della vittima, dando all’attaccante il controllo su di essa.

La campagna è stata soprannominata “OnionPoison”, in riferimento alla tecnica di onion routing utilizzata in Tor Browser. È probabile che le vittime della campagna raggiungano il video con il collegamento dannoso dopo una ricerca su YouTube. La descrizione del video contiene due link: il primo va al sito web ufficiale di Tor Browser, mentre l’altro porta a un eseguibile malevolo del programma di installazione di Tor Browser ospitato su un servizio di cloud sharing cinese. Poiché il sito Web Tor originale è vietato in Cina, gli spettatori del video devono accedere al collegamento del servizio di condivisione cloud per scaricare il browser.

L’interfaccia utente del programma di installazione dannoso di Tor Browser è identica a quella originale, mentre, il programma di installazione dannoso non dispone di una firma digitale e alcuni dei file eliminati dal programma di installazione dannoso differiscono da quelli in bundle.

A differenza di molti altri stealer, OnionPoison non sembra mostrare un particolare interesse nel raccogliere le password o i portafogli degli utenti. Tende invece a raccogliere le informazioni identificative delle vittime che possono essere usate per risalire alla loro identità, come la cronologia di navigazione, gli ID degli account dei social network e le reti Wi-Fi.

Gli esperti consigliano di non scaricare software da siti web sospetti di terze parti. Laddove non sia possibile usare i siti ufficiali, è possibile verificare l’autenticità dei programmi di installazione scaricati da fonti terze esaminando le loro firme digitali. Un programma di installazione legittimo dovrebbe avere una firma valida e il nome della società specificato nel suo certificato dovrebbe corrispondere al nome dello sviluppatore del software.

“Oggi siamo testimoni di come i contenuti video stiano sostituendo i testi, mentre le piattaforme video sono più spesso usate come motori di ricerca. I criminali informatici sono ben consapevoli delle attuali tendenze di fruizione del web e per questo hanno iniziato a distribuire malware sulle piattaforme video più popolari. Questa tendenza ci accompagnerà per un po’ di tempo, per questo consigliamo di installare una soluzione di sicurezza affidabile per rimanere protetti da tutte le potenziali minacce”, ha commentato Georgy Kucherin, Security Expert di Kaspersky.

https://securelist.com/onionpoison-infected-tor-browser-installer-youtube/107627/

https://www.kaspersky.it/about/press-releases/2022_onionpoison-un-installer-tor-browser-infetto-si-diffonde-attraverso-un-popolare-canale-youtube

Twitter
Visit Us
LinkedIn
Share
YOUTUBE