A principios de este mes, los expertos de Kaspersky publicaron un informe detallado sobre una amenaza a la que llamaron OnionPoison. Descubrieron un código malicioso que se distribuía a través de un vídeo de YouTube. El vídeo promocionaba el uso de Tor Browser para la navegación privada.
Este navegador es una versión modificada de Firefox, con la máxima configuración de privacidad. Pero su característica más importante es que puede redirigir todos los datos del usuario a través de la red The Onion Router (de ahí el nombre de Tor). Los datos se transmiten de forma cifrada a través de varias capas de servidor (de aquí viene el nombre de onion, “cebolla” en inglés), donde se mezclan con los datos de otros usuarios de la red. Este método garantiza la privacidad: las páginas web solo ven la dirección del último servidor en la red Tor, conocido como nodo de salida, y no pueden ver la dirección IP real del usuario.
Pero esto no es todo. La red Tor también se puede usar para eludir el acceso restringido a determinadas webs. En China, por ejemplo, muchos recursos “occidentales” de Internet están bloqueados, por lo que los usuarios recurren a soluciones como Tor para poder acceder a ellos. Curiosamente, YouTube tampoco está disponible en China de forma oficial, por lo tanto, el vídeo está dirigido a los usuarios que buscan formas de evitar estas restricciones. Seguramente este no fue el único método de distribución del malware OnionPoison, lo más probable es que se introdujeran otros enlaces en otros recursos internos de China.
Generalmente, los usuarios pueden descargar Tor Browser desde la página web oficial del proyecto. Sin embargo, esta web también está bloqueada en China, por lo que es habitual que los usuarios busquen fuentes de descarga alternativas. El vídeo de YouTube en cuestión explica cómo ocultar la actividad online usando Tor, y proporciona un enlace en la descripción. Este señala un servicio chino de alojamiento de archivos en la nube. Por desgracia, la versión del navegador Tor que se encuentra allí está infectada con el spyware OnionPoison. Por lo tanto, en lugar de privacidad, el usuario consigue totalmente lo contrario: todos sus datos son revelados.
Lo que el navegador Tor infectado sabe sobre el usuario
La versión infectada de Tor Browser no tiene firma digital, lo que debería ser una gran señal de alerta para el usuario que está preocupado por la seguridad. Al instalar un programa de este tipo, el sistema operativo Windows muestra una advertencia al respecto. Evidentemente, la versión oficial de Tor Browser tiene una firma digital, sin embargo, el contenido de distribución del paquete infectado difiere muy poco del original. Pero estas pequeñas diferencias son importantes.
Para empezar, en el navegador infectado cambian algunas configuraciones importantes en comparación con el navegador Tor original. A diferencia de la versión real, la versión maliciosa recuerda el historial del navegador, almacena en el ordenador copias temporales de páginas web y guarda automáticamente los datos de inicio de sesión, además de los introducidos en formularios. Esta configuración ya causa suficiente daño a la privacidad, pero esto es solo el principio…
Una de las bibliotecas clave de Tor/Firefox fue reemplazada por código malicioso. Esto hace que la biblioteca original mantenga el navegador funcionando según sea necesario. Y, en el arranque, también se dirige al servidor C2, desde donde descarga y ejecuta otro programa malicioso. Además, la siguiente etapa del ataque al usuario solo tiene lugar si la dirección IP real del usuario proviene de una ubicación en China.
Esta “segunda etapa” del ataque otorga a los atacantes la mayor cantidad de información detallada posible del usuario, en particular:
- Información sobre su ordenador y los programas instalados.
- Su historial de navegación, no solo en Tor Browser, también en otros navegadores instalados en el sistema, como Google Chrome o Microsoft Edge.
- Los ID de las redes wifi a las que se conecta.
- Y, por último, información sobre las cuentas de los populares servicios chinos de mensajería: QQ y WeChat.
Estos datos se pueden usar para asociar cualquier actividad online a un usuario específico. Los datos de la red wifi pueden permitir, incluso, que se localice su ubicación con bastante precisión.
Riesgos de privacidad
El nombre de OnionPoison se debe a que, realmente este spyware destruye la privacidad proporcionada por el software The Onion Router. Las consecuencias son evidentes: todos los intentos de ocultar la actividad online harán lo contrario, se la revelarán a los atacantes. Curiosamente, a diferencia de la mayor parte del malware de este tipo, OnionPoison no tiene como objetivo robar las contraseñas de los usuarios. Está claro que los atacantes no las necesitan: el único propósito de este ataque es la vigilancia.
Aunque no necesites utilizar Tor Browser para proteger tu privacidad (en la mayoría de los casos bastará con una app VPN), el estudio de OnionPoison brinda dos lecciones útiles para protegerse contra la actividad maliciosa. En primer lugar, solo se debe descargar software desde páginas web oficiales. Para los que quieran una verificación adicional, existen varios desarrolladores de software que publican las llamadas sumas de comprobación que son una especie de identificación del instalador “real” del programa. Puedes calcular la suma de comprobación de la distribución que te hayas descargado para asegurarte de que coincide con la original.
De todas formas, en el caso de OnionPoison, los usuarios tenían que descargar Tor Browser de fuentes no oficiales, ya que la web oficial estaba bloqueada. En estas situaciones, la verificación de la suma de comprobación es muy útil. Pero, como ya hemos mencionado, la distribución tenía otra señal de alerta: la falta de una firma digital legítima. Si Windows muestra una advertencia de este tipo, lo mejor es comprobarlo todo varias veces antes de ejecutar el programa, o simplemente no ejecutarlo.
Ahora vamos con la segunda lección, que deriva de la primera. ¡Nunca te descargues programas desde enlaces de YouTube! Se podría decir que OnionPoison solo representa una amenaza para los usuarios que se encuentran en China y que no parece que esto esté afectando a los usuarios de otros, pero realmente este no es el único ataque que utiliza las redes sociales como cebo para enganchar a los usuarios incautos. Otro informe reciente de Kaspersky muestra cómo los ciberdelincuentes infectan los dispositivos de los jugadores y roban sus datos. En ese caso, los atacantes también distribuyeron malware a través de YouTube. Además, en este caso, el malware también comprometía el propio canal de YouTube de la víctima, volviendo a publicar en él el mismo vídeo con un enlace malicioso.
Los ataques basados en YouTube se han visto beneficiados en parte por la priorización de Google de los vídeos en los resultados de búsqueda. Los ataques de este tipo son otro ejemplo de cómo se puede hacer un uso indebido de los recursos comunes que son aparentemente seguros. A veces hasta un usuario experimentado no es capaz de distinguir un enlace real de uno malicioso. Estos “inconvenientes” de la vida digital son el mejor argumento posible para instalar una solución de seguridad de alta calidad. Así, si el instinto natural de precaución falla, el software de seguridad identificará y bloqueará las amenazas a tiempo.