El malware recopiló datos confidenciales de usuarios chinos desde al menos marzo, quizá ya en enero, que incluían el historial de navegación, los datos de los formularios, el nombre y la ubicación del PC, el nombre de usuario y las direcciones MAC de los adaptadores de red, según informaron el martes investigadores de la empresa de ciberseguridad Kaspersky.
Un vídeo publicado en un canal de YouTube en chino incluía un enlace a la versión maliciosa del instalador del navegador Tor. El canal tiene más de 180.000 suscriptores, y el vídeo ha sido visto más de 64.000 veces, dijeron los investigadores de Kaspersky Leonid Bezvershenko y Georgy Kucherin en los resultados publicados el martes.
Una cuenta de YouTube subió el vídeo en enero de 2022 y los investigadores de Kaspersky empezaron a ver víctimas en sus datos en marzo, tras observar cúmulos de descargas de instaladores maliciosos de Tor.
Los investigadores bautizaron la campaña como “OnionPoison”, en referencia al enrutamiento de cebolla de varios pasos que da su nombre (“The Onion Router”) al navegador legítimo Tor, desarrollado originalmente por el Laboratorio de Investigación Naval de EE.UU., y su típico grado de anonimato.
El instalador malicioso carga una versión de Tor que incluye una biblioteca de software espía diseñada para recoger los datos personales y los envía al servidor controlado por el atacante, según los investigadores, y también puede dar a los atacantes la capacidad de ejecutar comandos de shell en las máquinas de las víctimas.
No está claro quién estaba detrás de la campaña, dijeron los investigadores de Kaspersky, pero está claramente dirigida a los usuarios chinos. El servidor de mando y control comprueba las direcciones IP y sólo envía el malware a las IP chinas, dijeron. Además, la descripción del vídeo incluye un enlace válido del navegador Tor, pero como el sitio web de Tor está bloqueado en China, es más probable que los usuarios hagan clic en el enlace que les dirige a un archivo descargable alojado en un sitio chino de intercambio de nubes de terceros.
Curiosamente, el navegador modificado no recoge automáticamente las contraseñas, las cookies o los monederos de los usuarios, según los investigadores, sino que se centra en el historial de navegación, los identificadores de cuentas de redes sociales y las redes Wi-Fi. “Los atacantes pueden buscar en los historiales de navegación exfiltrados rastros de actividad ilegal, contactar con las víctimas a través de las redes sociales y amenazar con denunciarlas a las autoridades”, escribieron los investigadores.
Kaspersky agrega que la mejor manera de evitar OnionPoison es descargar Tor desde el sitio web oficial o, si eso no es posible, comprobar la firma digital si proviene de un sitio de terceros.
Tor Project, en tanto, informa en su sitio web que la organización desplegó un parche el martes.
Ilustración: Captura de pantalla del vídeo que incluye el enlace de descarga del navegador Tor malicioso (Kaspersky)