Un Tor Browser malevolo distribuito in Cina, ha funzionalità di Spyware

Sono stati individuati recentemente dei programmi dannosi di installazione relativi a Tor Browser in Cina.

Poiché il sito Web di Tor Browser è bloccato in Cina, le persone di questo paese spesso ricorrono a scaricare Tor da siti Web di terze parti. 

In questo caso, un collegamento a un programma di installazione Tor dannoso è stato pubblicato su un popolare canale YouTube in lingua cinese dedicato all’anonimato su Internet. 

Il canale conta più di 180.000 iscritti, mentre il conteggio delle visualizzazioni del video con il link dannoso supera i 64.000. Il video è stato pubblicato a gennaio 2022 e le prime vittime della campagna hanno iniziato ad apparire a marzo 2022.

L’installazione di questa versione malevola di browser Tor è configurata per essere meno privata rispetto al Tor originale. A differenza di quello legittimo, il Tor Browser infetto memorizza la cronologia di navigazione e i dati inseriti nei moduli del sito web. 

Ancora più importante, una delle librerie in bundle con il Tor Browser malevolo è infettata da uno spyware che raccoglie vari dati personali e li invia a un server di comando e controllo. Lo spyware fornisce anche la funzionalità per eseguire comandi shell sulla macchina vittima, dando all’attaccante il controllo su di essa.

Questa campagna è stata soprannominata ‘OnionPoison’, chiamandola in onore della tecnica di routing onion utilizzata in Tor Browser.

È probabile che le vittime della campagna OnionPoison raggiungano il video con il collegamento dannoso dopo una ricerca su YouTube.

Il video è in testa all’elenco dei risultati di ricerca per la query “Tor浏览器” (“Tor Browser” in cinese).

La descrizione del video contiene due link: il primo va al sito web ufficiale di Tor Browser, mentre l’altro porta a un eseguibile malevolo del programma di installazione di Tor Browser ospitato su un servizio di cloud sharing cinese. 

Poiché il sito Web Tor originale è vietato in Cina, i visitatori del video dovranno collegamento al servizio di condivisione cloud per scaricare il browser.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Bajram Zeqiri

Bajram Zeqiri è un esperto di cybersecurity, cyber threat intelligence e digital forensics con oltre vent'anni di esperienza, che unisce competenze tecniche, visione strategica creare la resilienza cyber per le PMI. Fondatore di ParagonSec e collaboratore tecnico per Red Hot Cyber, opera nella delivery e progettazione di diversi servizi cyber, SOC, MDR, Incident Response, Security Architecture, Engineering e Operatività. Aiuta le PMI a trasformare la cybersecurity da un costo a leva strategica per le PMI.

Aree di competenza: Cyber threat intelligence, Incident response, Digital forensics, Malware analysis, Security architecture, SOC/MDR operations, OSINT research