{"id":20300,"date":"2022-11-08T17:57:33","date_gmt":"2022-11-08T20:57:33","guid":{"rendered":"https:\/\/www.kaspersky.com.br\/blog\/?p=20300"},"modified":"2022-11-08T17:58:25","modified_gmt":"2022-11-08T20:58:25","slug":"onionpoison-infected-tor-browser","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/onionpoison-infected-tor-browser\/20300\/","title":{"rendered":"Nunca baixe softwares de links do Youtube"},"content":{"rendered":"

No in\u00edcio deste m\u00eas, os especialistas da Kaspersky publicaram um relat\u00f3rio<\/a> detalhado sobre uma amea\u00e7a que chamaram de OnionPoison. Eles descobriram um c\u00f3digo malicioso sendo distribu\u00eddo por meio de v\u00eddeos do YouTube. O v\u00eddeo impulsionado aparece para usu\u00e1rios do Navegador Tor<\/a> para navega\u00e7\u00e3o privada.<\/p>\n

Este navegador \u00e9 uma vers\u00e3o modificada do navegador Firefox \u2014 com configura\u00e7\u00f5es m\u00e1ximas de privacidade. Mas sua caracter\u00edstica mais importante \u00e9 que ele pode redirecionar todos os dados do usu\u00e1rio pela rede The Onion Router (da\u00ed o nome Tor). Os dados s\u00e3o transmitidos de forma criptografada por meio de v\u00e1rias camadas de servidor (da\u00ed o trocadilho com Onion, que significa Cebola em ingl\u00eas), onde s\u00e3o misturados com dados de outros usu\u00e1rios da rede. Esse m\u00e9todo garante a privacidade: os sites veem apenas o endere\u00e7o do \u00faltimo servidor na rede Tor \u2013 o chamado n\u00f3 de sa\u00edda \u2013 e n\u00e3o podem ver o endere\u00e7o IP real do usu\u00e1rio.<\/p>\n

Mas isso n\u00e3o \u00e9 tudo. A rede Tor tamb\u00e9m pode ser usada para contornar o acesso restrito a determinados sites. Por exemplo, na China, muitos recursos da internet \u201cocidental\u201d s\u00e3o bloqueados, ent\u00e3o os usu\u00e1rios recorrem a solu\u00e7\u00f5es como o Tor para acess\u00e1-los. Ali\u00e1s, o YouTube tamb\u00e9m est\u00e1 oficialmente indispon\u00edvel na China, portanto, por defini\u00e7\u00e3o, o v\u00eddeo \u00e9 destinado a quem procura maneiras de contornar as restri\u00e7\u00f5es. \u00c9 prov\u00e1vel que esse n\u00e3o tenha sido o \u00fanico m\u00e9todo de distribui\u00e7\u00e3o do malware OnionPoison e que outros links tenham sido colocados em recursos dentro da China.<\/p>\n

Normalmente, um usu\u00e1rio pode baixar o Navegador Tor no site oficial do projeto. No entanto, este site tamb\u00e9m est\u00e1 bloqueado na China, ent\u00e3o n\u00e3o \u00e9 incomum que pessoas procurem fontes alternativas de download. O pr\u00f3prio v\u00eddeo do YouTube explica como ocultar a atividade online usando o Tor, e um link \u00e9 fornecido na descri\u00e7\u00e3o. Ele aponta para um servi\u00e7o chin\u00eas de hospedagem de arquivos em nuvem. Infelizmente, a vers\u00e3o do Navegador Tor localizada ali est\u00e1 infectada com o spyware OnionPoison. Assim, em vez de privacidade, o usu\u00e1rio obt\u00e9m exatamente o oposto: todos os seus dados s\u00e3o revelados.<\/p>\n

\"Captura

Captura de tela de um v\u00eddeo do YouTube anunciando uma vers\u00e3o maliciosa do Tor Browser. Fonte<\/a><\/p><\/div>\n

O que o navegador Tor infectado sabe sobre o usu\u00e1rio<\/h2>\n

A vers\u00e3o infectada do Navegador Tor n\u00e3o possui uma assinatura digital, o que deve ser um grande alerta vermelho para o usu\u00e1rio preocupado com a seguran\u00e7a. Ao instalar tal programa, o sistema operacional Windows exibe um aviso sobre isso. Naturalmente, a vers\u00e3o oficial do Tor Browser possui uma assinatura digital. O conte\u00fado de distribui\u00e7\u00e3o no pacote infectado, no entanto, difere muito pouco do original. Mas as pequenas diferen\u00e7as s\u00e3o importantes.<\/p>\n

Para come\u00e7ar, no navegador infectado, algumas configura\u00e7\u00f5es importantes foram alteradas quando comparadas com o navegador Tor original. Ao contr\u00e1rio da vers\u00e3o real, a maliciosas armazena o hist\u00f3rico do navegador, guarda c\u00f3pias tempor\u00e1rias de sites no computador e salva automaticamente as credenciais de login e todos os dados inseridos nos formul\u00e1rios. Essas configura\u00e7\u00f5es j\u00e1 causam danos suficientes \u00e0 privacidade, mas s\u00f3 pioram\u2026<\/p>\n

\"P\u00e1gina

P\u00e1gina de download do Navegador Tor infectado com spyware OnionPoison. Fonte<\/a><\/p><\/div>\n

Uma das principais bibliotecas do Tor\/Firefox foi substitu\u00edda por c\u00f3digo malicioso. Ele chama a biblioteca original, conforme necess\u00e1rio, para manter o navegador funcionando. E na inicializa\u00e7\u00e3o ele tamb\u00e9m endere\u00e7a o servidor C2, de onde baixa e executa outro programa malicioso. Al\u00e9m disso, a pr\u00f3xima etapa do ataque ao usu\u00e1rio ocorre apenas se o endere\u00e7o IP real apontar para um local na China.<\/p>\n

Esta \u201csegunda etapa\u201d do ataque fornece aos organizadores do ataque o m\u00e1ximo de informa\u00e7\u00f5es detalhadas poss\u00edvel sobre o usu\u00e1rio, em particular:<\/p>\n