troyanos
A principios de este mes, los expertos de Kaspersky publicaron un informe detallado sobre una amenaza a la que llamaron OnionPoison. Descubrieron un código malicioso que se distribuía mediante un video de YouTube. El video anunciado usaba Tor Browser para navegación privada.
Este navegador es una versión modificada de Firefox, con la máxima configuración de privacidad. Pero su característica más importante es que puede redirigir todos los datos del usuario a través de la red The Onion Router (de ahí el nombre Tor). Los datos se transmiten de forma cifrada a través de varias capas de servidor (de ahí la cebolla, onion, en el nombre), donde se mezclan con los datos de otros usuarios de la red. Este método garantiza la privacidad: los sitios web solo ven la dirección del último servidor en la red Tor, conocido como nodo de salida, y no pueden ver la dirección IP real del usuario.
Pero esto no es todo. La red Tor también se puede usar para eludir el acceso restringido a determinados sitios. En China, por ejemplo, muchos recursos “occidentales” de internet están bloqueados, por lo que los usuarios recurren a soluciones como Tor para poder acceder. Por cierto, YouTube tampoco está disponible en China de manera oficial, por lo que, por definición, el video se dirige a aquellos que buscan formas de evitar estas restricciones. Probablemente este no fue el único método de distribución del malware OnionPoison, y otros enlaces fueron colocados en recursos dentro de China.
Normalmente, Tor Browser puede ser descargado por un usuario desde el sitio web oficial del proyecto. Sin embargo, este sitio también está bloqueado en China, por lo que no es raro que las personas busquen fuentes alternativas de descarga. El video de YouTube en sí explica cómo ocultar la actividad en línea usando Tor, y proporciona un enlace en la descripción. Apunta a un servicio chino de alojamiento de archivos en la nube. Desafortunadamente, la versión del navegador Tor que se encuentra allí está infectada con el software espía OnionPoison. Entonces, en lugar de privacidad, el usuario obtiene exactamente lo contrario: todos sus datos son revelados.
Captura de pantalla de un video de YouTube que anuncia una versión maliciosa de Tor Browser. Fuente
Lo que el navegador Tor infectado sabe sobre el usuario
La versión infectada de Tor Browser no tiene firma digital, lo que debería ser una gran señal de alarma para el usuario que se preocupa por la seguridad. Al instalar un programa de este tipo, Windows, el sistema operativo, muestra una advertencia al respecto. Naturalmente, la versión oficial de Tor Browser tiene una firma digital. No obstante, el contenido de distribución del paquete infectado difiere muy poco del original. Pero estas pequeñas diferencias son importantes.
Para comenzar, en el navegador infectado, se cambiaron algunas configuraciones importantes en comparación con el navegador Tor original. A diferencia de la versión real, la maliciosa recuerda el historial del navegador, almacena copias temporales de sitios en la computadora y guarda de forma automática los datos de inicio de sesión, así como los ingresados en formularios. Tal configuración ya causa suficiente daño a la privacidad, pero esto es solo el comienzo…
Página de descarga del navegador Tor infectada con el spyware OnionPoison. Fuente
Una de las bibliotecas clave de Tor/Firefox fue reemplazada con código malicioso. Esto hace que la biblioteca original mantenga el navegador funcionando, según sea necesario. Y al inicio también se dirige al servidor C2, desde donde descarga y ejecuta otro programa malicioso. Además, esta siguiente etapa del ataque al usuario ocurre solo si su dirección IP real apunta a una ubicación en China.
Esta “segunda etapa” del ataque otorga a los organizadores del ataque la mayor cantidad posible de información detallada sobre el usuario, en especial:
- Información sobre su computadora y programas instalados.
- Su historial de navegación, no solo en Tor Browser, también en otros navegadores instalados en el sistema, como Google Chrome o Microsoft Edge.
- Los ID de las redes Wi-Fi a las que se conecta.
- Y, por último, información sobre cuentas en QQ y WeChat, populares servicios chinos de mensajería.
Estos detalles se pueden usar para asociar cualquier actividad en línea con un usuario específico. Los datos de la red Wi-Fi pueden permitir, incluso, que se localice su ubicación con bastante precisión.
Riesgos de privacidad
El nombre de OnionPoison se debe a que, esencialmente, destruye la privacidad proporcionada por el software The Onion Router. Las consecuencias son obvias: todos los intentos de ocultar la actividad en línea, por el contrario, la revelarán a los atacantes. Curiosamente, a diferencia de la mayoría del malware de este tipo, OnionPoison no se preocupa por robar las contraseñas de los usuarios. Es claro que los atacantes no las necesitan: el único propósito del ataque es la vigilancia.
Incluso si no tienes que utilizar Tor Browser para proteger tu privacidad (en la mayoría de los casos, bastará con una app VPN), el estudio de OnionPoison ofrece dos lecciones útiles para protegerse contra la actividad maliciosa. Primero, solo descargar software de sitios oficiales. Para quienes desean una verificación adicional, existen varios desarrolladores de software que publican las llamadas sumas de verificación. Este es un tipo de identificación del instalador del programa “real”. Puedes calcular la suma de comprobación de la distribución que descargaste para asegurarte de que coincida con la original.
De todos modos, en el caso de OnionPoison, los usuarios tenían que descargar Tor Browser de fuentes no oficiales, ya que el sitio oficial estaba bloqueado. En estas situaciones, la verificación de la suma de comprobación es muy útil. Pero, como ya mencionamos, la distribución tenía otra señal de alerta: la falta de una firma digital legítima. Si Windows muestra una advertencia de este tipo, es mejor verificar todo dos veces antes de ejecutar el programa. O simplemente no ejecutarlo en absoluto.
El sitio alojado en el servidor de control y comando de OnionPoison es visualmente idéntico al real: www.torproject.org.Fuente
Ahora la segunda lección, que se deriva de la primera. ¡Nunca programas desde los enlaces de YouTube! Un argumento podría ser que OnionPoison representa una amenaza solo para las personas en China, y las personas en otros países parecen no verse afectadas. Pero, de hecho, este no es el único ataque que utiliza las redes sociales como cebo para enganchar a los usuarios incautos. Otro informe reciente de Kaspersky mostró cómo los cibercriminales infectan los dispositivos de los jugadores y roban sus datos. En ese caso, los atacante también distribuyeron malware mediante YouTube. Además, el malware comprometió el propio canal de YouTube de la víctima, publicando allí el mismo video con un enlace malicioso.
Los ataques basados en YouTube se ayudados en parte por la priorización de videos de Google en los resultados de búsqueda. Los ataques de este tipo son otro ejemplo de cómo se puede hacer un uso indebido de recursos comunes y aparentemente seguros. Incluso un usuario experimentado no siempre es capaz de distinguir un link real de uno malicioso. Tales “inconvenientes” de la vida digital son el mejor argumento posible para instalar una solución de seguridad de alta calidad. Incluso si el instinto natural de precaución falla, el software de seguridad identificará y bloqueará las amenazas a tiempo.
