La aplicación imita la apariencia del navegador Tor, pero rastrea en secreto las identidades de sus usuarios chinos.
Los investigadores de Kaspersky descubrieron malware oculto detrás de una versión personalizada del navegador Tor anónimo que se entregó de una manera que destacaba a los usuarios chinos.
Los detalles sobre la campaña de malware se revelaron en una publicación de blog el martes, y parece que está dirigida a personas que han visto un video de YouTube en chino sobre el tema de mantener el anonimato en línea. Los usuarios de YouTube que buscaron "Tor", que significa "navegador Tor" en chino, encontraron que este video era el resultado más relevante durante el tiempo de estudio. Hay dos URL incrustadas en la descripción del video: una conduce al sitio web oficial de Tor (que está restringido en China) y la otra conduce a un servicio de intercambio de archivos basado en la nube que proporciona un instalador de Tor que se modificó para agregar contenido malicioso. programa malicioso
Cuando se ejecuta el archivo, se descargará e instalará la última versión estable del navegador Tor. Sin embargo, se ha modificado de modo que recuerda el historial de navegación del usuario y cualquier dato de formulario que haya ingresado, que el Tor Browser original olvida por defecto.
Los investigadores afirman que el navegador malicioso se implementa exclusivamente en direcciones IP chinas y que intenta descargar malware adicional desde un sitio externo. Después de que la segunda etapa del malware se coloca en una computadora, recopila información sobre esa computadora, incluido su GUID, el nombre del sistema, el nombre de usuario actual y la dirección MAC (que identifica la máquina en una red).
Según el estudio de Kaspersky, el servidor remoto también tiene acceso a los ID de cuenta de WeChat y QQ del usuario, así como a sus aplicaciones instaladas, al historial del navegador (incluido el del falso navegador Tor) y a otros datos.
En particular, el malware parece estar dirigido a la identificación del usuario en lugar del robo de datos para obtener ganancias financieras. A diferencia de otros tipos de malware, "los implantes de OnionPoison no recopilan automáticamente las contraseñas de los usuarios, las cookies o las billeteras", dijeron los investigadores de Kaspersky. En cambio, recopilan información que se puede usar para rastrear a las víctimas, como qué sitios web se visitaron, ID de usuario para cuentas de redes sociales e identificadores para redes inalámbricas.
El resultado final es un programa de vigilancia sólido y completo dirigido directamente a los usuarios de Internet chinos. Incluso si un usuario estuviera usando un software que supuestamente lo mantendría anónimo en línea, la información recopilada sería suficiente para construir un perfil detallado de su identidad y comportamiento en línea.
La forma más fácil de defenderse de este tipo de ataque es descargar software únicamente de fuentes confiables, como el sitio web oficial del Proyecto Tor. Sin embargo, muchas personas en China no pueden hacerlo debido a las estrictas políticas de censura de Internet del país. El gobierno chino bloquea aplicaciones comunes como Twitter, Instagram y Gmail porque podrían usarse para difundir material crítico con el gobernante Partido Comunista.