Los investigadores de Karpersky han descubierto múltiples infecciones a través de un instalador malicioso del navegador Tor, según ha alertado la compañía de ciberseguridad.
La campaña, bautizada como "OnionPoison" por la técnica de enrutamiento de cebolla que se utiliza en Tor, se está distribuyendo a través de un canal de Youtube chino que cuenta con más de 180.000 suscriptores.
"Los ciberdelincuentes difunden el malware para recopilar los datos personales de los usuarios y obtener el control total del ordenador de la víctima colocando un enlace a una versión infectada de Tor Browser en la barra de descripción de un vídeo sobre la Darknet", explica Kaspersky, apuntando que el vídeo se publicó el pasado mes de enero y ya acumula más de 64.000 reproducciones.
Según sus hallazgos, todas las víctimas de "OnionPoison" son usuarios chinos, algo que la firma de ciberseguridad achaca a que el navegador Tor está bloqueado en China, por lo que las personas que residen en ese país suelen recurrir a la descarga de Tor desde sitios web de terceros, recursos que generan mucho interés entre los ciberdelincuentes al ayudarles a hacer de las suyas.
Kaspersky también explica que la versión maliciosa del navegador Tor que utiliza esta campaña está configurada para ser mucho menos privada que el Tor original. Así, almacena el historial de navegación de sus víctimas y todos los datos que introducen en los formularios de las páginas web. Además, propaga un software espía para recoger varios datos personales y enviarlos al servidor de los atacantes.
A diferencia de otros muchos malwares de tipo infostealer, OnionPoison no parece mostrar un interés particular en recoger las contraseñas o carteras de los usuarios. Contrariamente, parece estar más interesado en recopilar información de identificación de las víctimas que pueda utilizarse para rastrear sus identidades, como historiales de navegación, ID de cuentas de redes sociales y redes Wi-Fi. Este dato es preocupante, advierte la empresa de ciberseguridad, puesto que los atacantes pueden recabar datos sobre la vida personal de la víctima, como su domicilio o información relacionada con su familia, e incluso utilizarla para chantajearla. Y, paralelamente, el software espía permite a los ciberdelincuentes ejecutar comandos de Shell en el dispositivo de los usuarios a los que atacan.
En palabras de Georgy Kucherin, experto en seguridad de Kaspersky: "Hoy en día somos testigos de cómo los contenidos de vídeo están sustituyendo al texto, mientras que las plataformas de vídeo se utilizan cada vez más como motores de búsqueda. Los ciberdelincuentes son muy conscientes de las tendencias actuales de consumo en Internet, de ahí que hayan empezado a distribuir malware en las plataformas de vídeo más populares. Esta tendencia se mantendrá durante algún tiempo, por lo que recomendamos instalar una solución de seguridad fiable para estar protegidos contra todas las posibles amenazas".
Cómo evitar sufrir este tipo de campañas maliciosas
Para reducir el riesgo de ser víctima de una campaña maliciosa de este tipo, Kaspersky hace hincapié en que no se deben descargar software de páginas web sospechosas de terceros. En caso de que no sea posible utilizar los sitios web oficiales, subraya que es importante verificar la autenticidad de los instaladores descargados de terceras partes examinando sus firmas digitales. "Un instalador legítimo debe tener una firma válida, y el nombre de la empresa especificado en su certificado debe coincidir con el nombre del desarrollador del software", remata la compañía.