La versione analizzata da Kaspersky di Tor Browser è configurata per essere meno privata del Tor originale. La campagna malevola raccoglie le informazioni identificative delle vittime che possono essere usate per risalire alla loro identità.

Tor Browser

I ricercatori di Kaspersky hanno recentemente scoperto una campagna malevola attualmente in corso, distribuita tramite un canale YouTube con oltre 170.000 iscritti. I criminali informatici diffondono il malware per raccogliere i dati personali degli utenti e ottenere il pieno controllo del computer della vittima, inserendo un link a una versione infetta di Tor Browser nella barra di descrizione di un video Darknet.

La maggior parte degli utenti colpiti proveniva dalla Cina, ma poiché il sito web di Tor Browser è bloccato in Cina, i suoi cittadini ricorrono spesso al download di Tor da siti di terze parti. I criminali informatici sono interessati a diffondere le loro attività dannose attraverso tali risorse.

La versione analizzata di Tor Browser è configurata per essere meno privata del Tor originale: memorizza la cronologia di navigazione e tutti i dati che l’utente inserisce nei moduli dei siti web. Inoltre, distribuisce spyware per raccogliere vari dati personali e inviarli al server degli attaccanti. A differenza di molti altri stealer, OnionPoison non sembra mostrare un particolare interesse nel raccogliere le password o i portafogli degli utenti. Tende invece a raccogliere le informazioni identificative delle vittime che possono essere usate per risalire alla loro identità, come la cronologia di navigazione, gli ID degli account dei social network e le reti Wi-Fi.

Questo è un dato preoccupante, poiché i rischi si stanno spostando dalla vita digitale a quella reale. Gli attaccanti possono raccogliere informazioni sulla vita personale della vittima, sulla sua famiglia o sull’indirizzo di casa. Inoltre, ci sono casi in cui i cyber criminali hanno usato le informazioni ottenute per ricattare la vittima.

Lo spyware permette anche di eseguire comandi di shell sul dispositivo della vittima.

“Oggi siamo testimoni di come i contenuti video stiano sostituendo i testi, mentre le piattaforme video sono più spesso usate come motori di ricerca. I criminali informatici sono ben consapevoli delle attuali tendenze di fruizione del web e per questo hanno iniziato a distribuire malware sulle piattaforme video più popolari. Questa tendenza ci accompagnerà per un po’ di tempo, per questo consigliamo di installare una soluzione di sicurezza affidabile per rimanere protetti da tutte le potenziali minacce”, ha commentato Georgy Kucherin, Security Expert di Kaspersky.

Per ridurre il rischio di essere vittima di una campagna dannosa simile a quella diffusa tramite Tor Browser, si consiglia di non scaricare software da siti web sospetti di terze parti. Se non è possibile usare i siti ufficiali, è possibile verificare l’autenticità dei programmi di installazione scaricati da fonti terze esaminando le loro firme digitali. Un programma di installazione legittimo dovrebbe avere una firma valida e il nome della società specificato nel suo certificato dovrebbe corrispondere al nome dello sviluppatore del software.