All’inizio di questo mese, gli esperti di Kaspersky hanno pubblicato un report dettagliato su una minaccia, denominata OnionPoison, e hanno scoperto che un codice dannoso veniva distribuito attraverso un video di YouTube. Il video pubblicizzava l’uso di Tor Browser per navigare in modo privato.
Questo browser è una versione modificata del browser Firefox, con le migliori impostazioni per la privacy. Tuttavia, la sua caratteristica più importante è che può reindirizzare tutti i dati dell’utente attraverso la rete The Onion Router (da cui il nome Tor). I dati vengono trasmessi in forma crittografata attraverso diversi strati di server (per questo il nome “cipolla”, o “onion” in inglese), dove vengono mischiati con i dati di altri utenti della rete. Questo metodo garantisce la privacy: i siti web vedono solo l’indirizzo dell’ultimo server della rete Tor (il cosiddetto nodo di uscita) e non possono vedere il vero indirizzo IP dell’utente.
Ma non è tutto. La rete Tor può anche essere utilizzata per aggirare le restrizioni di accesso a determinati siti. In Cina, ad esempio, molte risorse Internet “occidentali” sono bloccate e gli utenti si rivolgono a soluzioni come Tor per accedervi. Tra l’altro, anche YouTube non è ufficialmente disponibile in Cina, quindi, il video è giustamente rivolto a coloro che cercano un modo per aggirare le restrizioni. È probabile che questo non sia stato l’unico metodo di distribuzione del malware OnionPoison e che i criminali abbiano inserito altri link in altre risorse all’interno della Cina.
Normalmente, un utente può scaricare Tor Browser dal sito ufficiale del progetto. Tuttavia, anche questo sito è bloccato in Cina, quindi non c’è nulla di strano se le persone cerchino fonti di download alternative. Lo stesso video di YouTube spiega come nascondere l’attività online utilizzando Tor e nella descrizione viene fornito un link. Tale link rimanda a un servizio cinese di cloud file-hosting. Sfortunatamente, la versione di Tor Browser che si trova sul quel portale è infettata dallo spyware OnionPoison. Quindi, invece della protezione della privacy, l’utente ottiene l’esatto contrario: la diffusione di tutti i suoi dati.
Quello che il Tor Browser infetto sa dell’utente
La versione infetta di Tor Browser è priva di firma digitale, il che dovrebbe essere un grande campanello d’allarme per gli utenti attenti alla sicurezza. Quando si installa un programma di questo tipo, il sistema operativo Windows visualizza un avviso. Naturalmente, la versione ufficiale di Tor Browser è dotata di firma digitale. I contenuti della versione del pacchetto infetto, tuttavia, differiscono molto poco dall’originale. Ma le piccole differenze sono importanti.
Prima di tutto, nel browser infetto sono state modificate alcune impostazioni importanti rispetto a quelle del Tor Browser originale. A differenza di quello vero, la versione dannosa ricorda la cronologia del browser, memorizza copie temporanee dei siti sul computer e salva automaticamente le credenziali di accesso e tutti i dati inseriti nei moduli. Tali impostazioni causano già abbastanza danni alla privacy, ma purtroppo questo non è tutto…
Una delle librerie fondamentali di Tor/Firefox è stata sostituita con codice dannoso. Per far funzionare il browser, questo richiama la libreria originale, come richiesto. All’avvio, si rivolge anche al server C2, da cui scarica ed esegue un altro programma dannoso. Inoltre, questa fase successiva dell’attacco all’utente avviene solo se il suo indirizzo IP reale punta a una località in Cina.
Questa “seconda fase” dell’attacco fornisce ai cybercriminali il maggior numero possibile di informazioni dettagliate sull’utente, in particolare:
- Dati sul computer e sui programmi installati.
- La cronologia di navigazione, non solo di Tor Browser, ma anche di altri browser installati nel sistema, come Google Chrome e Microsoft Edge.
- Gli ID delle reti Wi-Fi a cui si connettono.
- Infine, i dati degli account nei popolari messenger cinesi QQ e WeChat.
Questi dati possono essere utilizzati per associare qualsiasi attività online a un utente specifico. I dati delle reti Wi-Fi possono persino consentire di stabilire con precisione la loro posizione.
Rischi per la privacy
OnionPoison è chiamato in questo modo perché distrugge essenzialmente la privacy fornita dal software The Onion Router. Le conseguenze sono ovvie: tutti i tentativi di nascondere la propria attività online otterranno l’effetto contrario e riveleranno tali attività agli hacker. Curiosamente, a differenza della maggior parte dei malware di questo tipo, OnionPoison non si disturba a rubare le password degli utenti. Gli autori non ne hanno evidentemente bisogno: l’unico scopo dell’attacco è la sorveglianza.
Anche se non è necessario utilizzare Tor Browser per proteggere la propria privacy (nella maggior parte dei casi è sufficiente una normale app VPN), il caso OnionPoison offre due utili lezioni e ci ricorda quanto sia importante proteggersi dalle attività dannose. In primo luogo, scaricate software solo dai siti ufficiali. Per chi desidera una verifica aggiuntiva, molti sviluppatori di software pubblicano le cosiddette checksum. Si tratta di una sorta di documento di identità del “vero” programma di installazione. È possibile consultare il checksum della versione scaricata e controllare se corrisponde all’originale.
Nel caso di OnionPoison, gli utenti hanno dovuto comunque scaricare Tor Browser da fonti non ufficiali, poiché il sito ufficiale era bloccato. In queste situazioni, la verifica del checksum è utile. Tuttavia, come abbiamo detto sopra, la versione presentava un’altra bandiera rossa: la mancanza di una firma digitale legittima. Se Windows visualizza questo avviso, è meglio ricontrollare tutto prima di eseguire il programma, o semplicemente non eseguirlo affatto.
Passiamo ora alla seconda lezione, che deriva dalla prima. Non scaricate mai programmi dai link di YouTube! Si potrebbe sostenere che OnionPoison rappresenti una minaccia solo per gli abitanti della Cina e gli utenti di altri paesi non dovrebbero preoccuparsene. In realtà, però, questo non è l’unico attacco che utilizza i social come esca per agganciare gli utenti creduloni. Un altro recente report di Kaspersky ha mostrato come i criminali informatici infettino i dispositivi dei gamer rubando i loro dati. In questo caso, gli hacker hanno distribuito il malware anche attraverso YouTube. Inoltre, il malware ha compromesso il canale YouTube della vittima, pubblicandovi lo stesso video con un link dannoso.
Gli attacchi tramite YouTube sono in parte agevolati dalla priorità data da Google ai video nei risultati di ricerca. Attacchi di questo tipo sono un esempio di come risorse ordinarie e apparentemente sicure possano essere utilizzate in modo scorretto. Anche un utente esperto non è sempre in grado di distinguere un link reale da uno dannoso. Questi “inconvenienti” della vita digitale ci spingono a installare una soluzione di sicurezza di livello elevato. Anche se la vostra abituale cautela online viene meno, il software di sicurezza identificherà e bloccherà le minacce tempestivamente.