{"id":28049,"date":"2022-11-07T12:55:20","date_gmt":"2022-11-07T10:55:20","guid":{"rendered":"https:\/\/www.kaspersky.es\/blog\/?p=28049"},"modified":"2022-11-08T12:07:10","modified_gmt":"2022-11-08T10:07:10","slug":"onionpoison-infected-tor-browser","status":"publish","type":"post","link":"https:\/\/www.kaspersky.es\/blog\/onionpoison-infected-tor-browser\/28049\/","title":{"rendered":"Nunca descargues software desde enlaces de YouTube"},"content":{"rendered":"

A principios de este mes, los expertos de Kaspersky publicaron un informe<\/a> detallado sobre una amenaza a la que llamaron OnionPoison. Descubrieron un c\u00f3digo malicioso que se distribu\u00eda a trav\u00e9s de un v\u00eddeo de YouTube. El v\u00eddeo promocionaba el uso de Tor Browser<\/a> para la navegaci\u00f3n privada.<\/p>\n

Este navegador es una versi\u00f3n modificada de Firefox, con la m\u00e1xima configuraci\u00f3n de privacidad. Pero su caracter\u00edstica m\u00e1s importante es que puede redirigir todos los datos del usuario a trav\u00e9s de la red The Onion Router (de ah\u00ed el nombre de Tor). Los datos se transmiten de forma cifrada a trav\u00e9s de varias capas de servidor (de aqu\u00ed viene el nombre de onion<\/em>, \u201ccebolla\u201d en ingl\u00e9s), donde se mezclan con los datos de otros usuarios de la red. Este m\u00e9todo garantiza la privacidad: las p\u00e1ginas web solo ven la direcci\u00f3n del \u00faltimo servidor en la red Tor, conocido como nodo de salida, y no pueden ver la direcci\u00f3n IP real del usuario.<\/p>\n

Pero esto no es todo. La red Tor tambi\u00e9n se puede usar para eludir el acceso restringido a determinadas webs. En China, por ejemplo, muchos recursos \u201coccidentales\u201d de Internet est\u00e1n bloqueados, por lo que los usuarios recurren a soluciones como Tor para poder acceder a ellos. Curiosamente, YouTube tampoco est\u00e1 disponible en China de forma oficial, por lo tanto, el v\u00eddeo est\u00e1 dirigido a los usuarios que buscan formas de evitar estas restricciones. Seguramente este no fue el \u00fanico m\u00e9todo de distribuci\u00f3n del malware <\/em>OnionPoison, lo m\u00e1s probable es que se introdujeran otros enlaces en otros recursos internos de China.<\/p>\n

Generalmente, los usuarios pueden descargar Tor Browser desde la p\u00e1gina web oficial del proyecto. Sin embargo, esta web tambi\u00e9n est\u00e1 bloqueada en China, por lo que es habitual que los usuarios busquen fuentes de descarga alternativas. El v\u00eddeo de YouTube en cuesti\u00f3n explica c\u00f3mo ocultar la actividad online <\/em>usando Tor, y proporciona un enlace en la descripci\u00f3n. Este se\u00f1ala un servicio chino de alojamiento de archivos en la nube. Por desgracia, la versi\u00f3n del navegador Tor que se encuentra all\u00ed est\u00e1 infectada con el spyware <\/em>OnionPoison. Por lo tanto, en lugar de privacidad, el usuario consigue totalmente lo contrario: todos sus datos son revelados.<\/p>\n

\"Captura

Captura de pantalla de un v\u00eddeo de YouTube que distribuye el navegador Tor infectado con el spyware OnionPoison. Fuente. <\/a><\/p><\/div>\n

Lo que el navegador Tor infectado sabe sobre el usuario<\/h2>\n

La versi\u00f3n infectada de Tor Browser no tiene firma digital, lo que deber\u00eda ser una gran se\u00f1al de alerta para el usuario que est\u00e1 preocupado por la seguridad. Al instalar un programa de este tipo, el sistema operativo Windows muestra una advertencia al respecto. Evidentemente, la versi\u00f3n oficial de Tor Browser tiene una firma digital, sin embargo, el contenido de distribuci\u00f3n del paquete infectado difiere muy poco del original. Pero estas peque\u00f1as diferencias son importantes.<\/p>\n

Para empezar, en el navegador infectado cambian algunas configuraciones importantes en comparaci\u00f3n con el navegador Tor original. A diferencia de la versi\u00f3n real, la versi\u00f3n maliciosa recuerda el historial del navegador, almacena en el ordenador copias temporales de p\u00e1ginas web y guarda autom\u00e1ticamente los datos de inicio de sesi\u00f3n, adem\u00e1s de los introducidos en formularios. Esta configuraci\u00f3n ya causa suficiente da\u00f1o a la privacidad, pero esto es solo el principio\u2026<\/p>\n

\"P\u00e1gina

P\u00e1gina de descarga del navegador Tor infectada con el spyware OnionPoison. Fuente.<\/a><\/p><\/div>\n

Una de las bibliotecas clave de Tor\/Firefox fue reemplazada por c\u00f3digo malicioso. Esto hace que la biblioteca original mantenga el navegador funcionando seg\u00fan sea necesario. Y, en el arranque, tambi\u00e9n se dirige al servidor C2, desde donde descarga y ejecuta otro programa malicioso. Adem\u00e1s, la siguiente etapa del ataque al usuario solo tiene lugar si la direcci\u00f3n IP real del usuario proviene de una ubicaci\u00f3n en China.<\/p>\n

Esta \u201csegunda etapa\u201d del ataque otorga a los atacantes la mayor cantidad de informaci\u00f3n detallada posible del usuario, en particular:<\/p>\n