{"id":25495,"date":"2022-11-09T20:15:23","date_gmt":"2022-11-10T02:15:23","guid":{"rendered":"https:\/\/latam.kaspersky.com\/blog\/?p=25495"},"modified":"2022-11-09T20:15:23","modified_gmt":"2022-11-10T02:15:23","slug":"onionpoison-infected-tor-browser","status":"publish","type":"post","link":"https:\/\/latam.kaspersky.com\/blog\/onionpoison-infected-tor-browser\/25495\/","title":{"rendered":"Nunca descargues software de los enlaces de YouTube"},"content":{"rendered":"

A principios de este mes, los expertos de Kaspersky publicaron un informe<\/a> detallado sobre una amenaza a la que llamaron OnionPoison. Descubrieron un c\u00f3digo malicioso que se distribu\u00eda mediante un video de YouTube. El video anunciado usaba Tor Browser<\/a> para navegaci\u00f3n privada.<\/p>\n

Este navegador es una versi\u00f3n modificada de Firefox, con la m\u00e1xima configuraci\u00f3n de privacidad. Pero su caracter\u00edstica m\u00e1s importante es que puede redirigir todos los datos del usuario a trav\u00e9s de la red The Onion Router (de ah\u00ed el nombre Tor). Los datos se transmiten de forma cifrada a trav\u00e9s de varias capas de servidor (de ah\u00ed la cebolla, onion, en el nombre), donde se mezclan con los datos de otros usuarios de la red. Este m\u00e9todo garantiza la privacidad: los sitios web solo ven la direcci\u00f3n del \u00faltimo servidor en la red Tor, conocido como nodo de salida, y no pueden ver la direcci\u00f3n IP real del usuario.<\/p>\n

Pero esto no es todo. La red Tor tambi\u00e9n se puede usar para eludir el acceso restringido a determinados sitios. En China, por ejemplo, muchos recursos \u201coccidentales\u201d de internet est\u00e1n bloqueados, por lo que los usuarios recurren a soluciones como Tor para poder acceder. Por cierto, YouTube tampoco est\u00e1 disponible en China de manera oficial, por lo que, por definici\u00f3n, el video se dirige a aquellos que buscan formas de evitar estas restricciones. Probablemente este no fue el \u00fanico m\u00e9todo de distribuci\u00f3n del malware OnionPoison, y otros enlaces fueron colocados en recursos dentro de China.<\/p>\n

Normalmente, Tor Browser puede ser descargado por un usuario desde el sitio web oficial del proyecto. Sin embargo, este sitio tambi\u00e9n est\u00e1 bloqueado en China, por lo que no es raro que las personas busquen fuentes alternativas de descarga. El video de YouTube en s\u00ed explica c\u00f3mo ocultar la actividad en l\u00ednea usando Tor, y proporciona un enlace en la descripci\u00f3n. Apunta a un servicio chino de alojamiento de archivos en la nube. Desafortunadamente, la versi\u00f3n del navegador Tor que se encuentra all\u00ed est\u00e1 infectada con el software esp\u00eda OnionPoison. Entonces, en lugar de privacidad, el usuario obtiene exactamente lo contrario: todos sus datos son revelados.<\/p>\n

\"Captura

Captura de pantalla de un video de YouTube que anuncia una versi\u00f3n maliciosa de Tor Browser. Fuente<\/a><\/p><\/div>\n

Lo que el navegador Tor infectado sabe sobre el usuario<\/h2>\n

La versi\u00f3n infectada de Tor Browser no tiene firma digital, lo que deber\u00eda ser una gran se\u00f1al de alarma para el usuario que se preocupa por la seguridad. Al instalar un programa de este tipo, Windows, el sistema operativo, muestra una advertencia al respecto. Naturalmente, la versi\u00f3n oficial de Tor Browser tiene una firma digital. No obstante, el contenido de distribuci\u00f3n del paquete infectado difiere muy poco del original. Pero estas peque\u00f1as diferencias son importantes.<\/p>\n

Para comenzar, en el navegador infectado, se cambiaron algunas configuraciones importantes en comparaci\u00f3n con el navegador Tor original. A diferencia de la versi\u00f3n real, la maliciosa recuerda el historial del navegador, almacena copias temporales de sitios en la computadora y guarda de forma autom\u00e1tica los datos de inicio de sesi\u00f3n, as\u00ed como los ingresados \u200b\u200ben formularios. Tal configuraci\u00f3n ya causa suficiente da\u00f1o a la privacidad, pero esto es solo el comienzo\u2026<\/p>\n

\"P\u00e1gina

P\u00e1gina de descarga del navegador Tor infectada con el spyware OnionPoison. Fuente<\/a><\/p><\/div>\n

Una de las bibliotecas clave de Tor\/Firefox fue reemplazada con c\u00f3digo malicioso. Esto hace que la biblioteca original mantenga el navegador funcionando, seg\u00fan sea necesario. Y al inicio tambi\u00e9n se dirige al servidor C2, desde donde descarga y ejecuta otro programa malicioso. Adem\u00e1s, esta siguiente etapa del ataque al usuario ocurre solo si su direcci\u00f3n IP real apunta a una ubicaci\u00f3n en China.<\/p>\n

Esta \u201csegunda etapa\u201d del ataque otorga a los organizadores del ataque la mayor cantidad posible de informaci\u00f3n detallada sobre el usuario, en especial:<\/p>\n