Trojans
No início deste mês, os especialistas da Kaspersky publicaram um relatório detalhado sobre uma ameaça que chamaram de OnionPoison. Eles descobriram um código malicioso sendo distribuído por meio de vídeos do YouTube. O vídeo impulsionado aparece para usuários do Navegador Tor para navegação privada.
Este navegador é uma versão modificada do navegador Firefox — com configurações máximas de privacidade. Mas sua característica mais importante é que ele pode redirecionar todos os dados do usuário pela rede The Onion Router (daí o nome Tor). Os dados são transmitidos de forma criptografada por meio de várias camadas de servidor (daí o trocadilho com Onion, que significa Cebola em inglês), onde são misturados com dados de outros usuários da rede. Esse método garante a privacidade: os sites veem apenas o endereço do último servidor na rede Tor – o chamado nó de saída – e não podem ver o endereço IP real do usuário.
Mas isso não é tudo. A rede Tor também pode ser usada para contornar o acesso restrito a determinados sites. Por exemplo, na China, muitos recursos da internet “ocidental” são bloqueados, então os usuários recorrem a soluções como o Tor para acessá-los. Aliás, o YouTube também está oficialmente indisponível na China, portanto, por definição, o vídeo é destinado a quem procura maneiras de contornar as restrições. É provável que esse não tenha sido o único método de distribuição do malware OnionPoison e que outros links tenham sido colocados em recursos dentro da China.
Normalmente, um usuário pode baixar o Navegador Tor no site oficial do projeto. No entanto, este site também está bloqueado na China, então não é incomum que pessoas procurem fontes alternativas de download. O próprio vídeo do YouTube explica como ocultar a atividade online usando o Tor, e um link é fornecido na descrição. Ele aponta para um serviço chinês de hospedagem de arquivos em nuvem. Infelizmente, a versão do Navegador Tor localizada ali está infectada com o spyware OnionPoison. Assim, em vez de privacidade, o usuário obtém exatamente o oposto: todos os seus dados são revelados.
Captura de tela de um vídeo do YouTube anunciando uma versão maliciosa do Tor Browser. Fonte
O que o navegador Tor infectado sabe sobre o usuário
A versão infectada do Navegador Tor não possui uma assinatura digital, o que deve ser um grande alerta vermelho para o usuário preocupado com a segurança. Ao instalar tal programa, o sistema operacional Windows exibe um aviso sobre isso. Naturalmente, a versão oficial do Tor Browser possui uma assinatura digital. O conteúdo de distribuição no pacote infectado, no entanto, difere muito pouco do original. Mas as pequenas diferenças são importantes.
Para começar, no navegador infectado, algumas configurações importantes foram alteradas quando comparadas com o navegador Tor original. Ao contrário da versão real, a maliciosas armazena o histórico do navegador, guarda cópias temporárias de sites no computador e salva automaticamente as credenciais de login e todos os dados inseridos nos formulários. Essas configurações já causam danos suficientes à privacidade, mas só pioram…
Página de download do Navegador Tor infectado com spyware OnionPoison. Fonte
Uma das principais bibliotecas do Tor/Firefox foi substituída por código malicioso. Ele chama a biblioteca original, conforme necessário, para manter o navegador funcionando. E na inicialização ele também endereça o servidor C2, de onde baixa e executa outro programa malicioso. Além disso, a próxima etapa do ataque ao usuário ocorre apenas se o endereço IP real apontar para um local na China.
Esta “segunda etapa” do ataque fornece aos organizadores do ataque o máximo de informações detalhadas possível sobre o usuário, em particular:
- Dados sobre seu computador e programas instalados.
- Seu histórico de navegação — não apenas no Navegador Tor, mas também em outros navegadores instalados no sistema, como Google Chrome e Microsoft Edge.
- Os IDs das redes Wi-Fi às quais eles se conectam.
- E, por último, os dados da conta nos populares mensageiros chineses QQ e WeChat.
Esses detalhes podem ser usados para associar qualquer atividade online a um usuário específico. Os dados da rede Wi-Fi podem até permitir que sua localização seja estabelecida com bastante precisão.
Riscos de privacidade
OnionPoison é assim chamado porque essencialmente destrói a privacidade fornecida pelo software The Onion Router. As consequências são óbvias: todas as tentativas de ocultar sua atividade online terão efeito contrário, ou seja, a revelarão aos invasores. Curiosamente, ao contrário da maioria dos malwares desse tipo, o OnionPoison não se incomoda em roubar senhas de usuários. Os organizadores claramente não precisam delas: o único objetivo do ataque é a vigilância.
Mesmo que você não precise usar o Navegador Tor para proteger sua privacidade (na maioria dos casos, um aplicativo VPN comum será suficiente), o estudo sobre o OnionPoison oferece duas lições úteis na proteção contra atividades maliciosas. Primeiro, baixe apenas software de sites oficiais. Para aqueles que desejam verificação adicional, muitos desenvolvedores de software publicam as chamadas “somas de verificação”. Este é um tipo de ID do instalador do programa legítimo. Você pode calcular a soma de verificação da distribuição baixada para garantir que ela corresponda ao original.
No caso do OnionPoison, os usuários tiveram que baixar o Navegador Tor de fontes não oficiais de qualquer maneira, pois o site oficial foi bloqueado. Em tais situações, a verificação da soma de verificação é muito útil. Mas, como mencionamos acima, a distribuição teve outro alerta vermelho: a falta de uma assinatura digital legítima. Se o Windows exibir esse aviso, é melhor verificar tudo antes de executar o programa. Ou simplesmente não o execute.
O site hospedado no servidor de comando e controle OnionPoison é visualmente idêntico ao real www.torproject.org. Fonte
Agora para a segunda lição, que decorre da primeira. Nunca baixe programas de links do YouTube! Você pode argumentar que OnionPoison representa uma ameaça apenas para as pessoas na China, e as de outros países parecem não ser afetadas. Mas, na verdade, esse não é o único ataque que usa as redes sociais como isca para fisgar usuários crédulos. Outro relatório recente da Kaspersky mostrou como os cibercriminosos infectam os dispositivos dos jogadores e roubam seus dados. Os invasores, neste caso, também distribuíram malware pelo YouTube. Além disso, o malware comprometeu o próprio canal do YouTube da vítima, postando lá o mesmo vídeo com um link malicioso.
Os ataques baseados no YouTube são parcialmente ajudados pela priorização de vídeos do Google nos resultados de pesquisa. Ataques desse tipo são outro exemplo de como recursos comuns e aparentemente seguros podem ser mal utilizados. Mesmo um usuário experiente nem sempre consegue distinguir um link real de um malicioso. Tais “inconveniências” da vida digital são o melhor argumento possível para instalar uma solução de segurança de alta qualidade. Mesmo que sua cautela online natural falhe, o software de segurança identificará e bloqueará a ameaça em tempo hábil.
