Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Popular canal de YouTube chino distribuyendo instalador de TOR infectado

Popular canal de YouTube chino distribuyendo instalador de TOR infectado

Por Deja un comentario

Un popular canal de YouTube chino ha surgido como medio para distribuir una versión troyanizada de un instalador de Windows para el navegador TOR.

Kaspersky en respuesta a estos acontecimientos ha bautizado la campaña en la que se tomarán acciones, como OnionPoison, aunque parece ser que todas las víctimas se encuentran en China. De momento la escala del ataque sigue sin estar clara, pero la empresa rusa de ciberseguridad comunicó que se han detectado víctimas que aparecían en su telemetría en marzo de 2022.

La versión maliciosa del instalador de dicho navegador TOR se distribuye a través de un enlace ubicado en la descripción de un vídeo que se subió a YouTube el 9 de enero de 2022. Hasta ser retirado, dicho video ha sido reproducido por usuarios más de 64.500 veces, además el canal de YouTube que subió el vídeo, cuenta actualmente con 181.000 suscriptores y afirma tener su sede en Hong Kong.

El ataque, simple aunque efectivo, se basa en el hecho de engañar al usuario gracias a que que el sitio web real de TOR Browser está bloqueado en China, por lo que los usuarios buscan «Tor浏览器» (es decir, TOR Browser en chino) en YouTube donde acaban descargando el instalador falso, el enlace de descarga redirige al usuario a un ejecutable de 74 MB, el cual una vez instalado, está diseñado para almacenar el historial de navegación de los usuarios y los datos introducidos en los formularios de los sitios web.

Además, a diferencia de otros malware que sutraen información de los usuarios, OnionPoison no está diseñado para recopilar contraseñas de usuario, cookies de sesión o datos de la cartera. Más bien, la idea parece ser identificar a las víctimas a través de sus historiales de navegación, ID de cuentas de redes sociales y SSID de redes Wi-Fi.

El módulo de software espía también ofrece la funcionalidad de filtrar una lista de software instalado y procesos en ejecución, historiales de navegación, ID de cuentas WeChat y QQ de las víctimas, además de ejecutar comandos shell arbitrarios en la máquina de la víctima, lo cual añade más gravedad al asunto.

Más información

Acerca de Borja Aragón Jiménez

Borja Aragón Jiménez Ha escrito 27 publicaciones.

Interacciones con los lectores

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.