Onlangs ontdekten onderzoekers van Kaspersky een lopende kwaadaardige campagne die wordt verspreid via een YouTube-kanaal met meer dan 180.000 abonnees. Cybercriminelen verspreiden malware om persoonlijke gegevens van gebruikers te verzamelen en volledige controle over de computer van het slachtoffer te krijgen. Dit doen de cybercriminelen door in de beschrijving van een video over het darknet een link naar een geïnfecteerde versie van Tor Browser te plaatsen.
Onderzoekers van Kaspersky identificeerden meerdere gevallen van infecties via kwaadaardige Tor Browser-installatieprogramma’s die werden verspreid via een uitlegvideo over het darknet op YouTube. Dit kanaal heeft meer dan 180.000 abonnees, terwijl de video met de kwaadaardige link meer dan 64.000 keer is bekeken.
Screenshot van de video met een link naar het schadelijke Tor Browser installatieprogramma in de beschrijving.
De meeste getroffen gebruikers kwamen uit China. Omdat de Tor Browser website in China geblokkeerd is, nemen personen uit dit land vaak hun toevlucht tot het downloaden van Tor via websites van derden. En cybercriminelen richten zich op het verspreiden van hun kwaadaardige activiteiten via dergelijke bronnen.
De geanalyseerde versie van Tor Browser is geconfigureerd om minder privé te zijn dan de originele Tor - het bewaart de browsegeschiedenis en alle gegevens die de gebruiker op websiteformulieren invoert. Bovendien verspreidt het spyware om verschillende persoonlijke gegevens te verzamelen en naar de server van de cybercriminelen te sturen. Vreemd genoeg lijkt OnionPoison, in tegenstelling tot veel andere hackers, niet bijzonder geïnteresseerd in het verzamelen van wachtwoorden of wallets van gebruikers. In plaats daarvan zijn ze meer geïnteresseerd in het verzamelen van identificerende informatie van slachtoffers die kan worden gebruikt om hun identiteit te achterhalen, zoals browsegeschiedenis, ID's van sociale netwerkaccounts en wifi-netwerken.
Dit feit is zorgwekkend omdat de risico's zich verplaatsen van het digitale naar het echte leven. De cybercriminelen kunnen informatie verzamelen over het persoonlijke leven van het slachtoffer, zijn familie of thuisadres. Bovendien zijn er gevallen waarin de aanvaller de verkregen informatie gebruikt om het slachtoffer te chanteren.
De spyware biedt ook de mogelijkheid om shell-commando's uit te voeren op het apparaat van het slachtoffer.
“Tegenwoordig zien we hoe videocontent teksten vervangt, terwijl videoplatforms vaker als zoekmachine worden gebruikt. Cybercriminelen zijn zich terdege bewust van de huidige trends in internetconsumptie en zijn daarom begonnen met het verspreiden van malware op populaire videoplatforms. Deze trend zal nog wel enige tijd aanhouden, en daarom is het sterk aan te raden een betrouwbare security-oplossing te installeren om beschermd te blijven tegen alle mogelijke bedreigingen", aldus Georgy Kucherin, security-expert bij Kaspersky.
Om het risico om slachtoffer te worden van een soortgelijke kwaadaardige campagne te verkleinen, downloadt dan geen software van verdachte websites van derden. Als het gebruik van officiële websites geen optie is, is het mogelijk om de authenticiteit van installatieprogramma’s, die zijn gedownload van bronnen van derden, te controleren door hun digitale handtekeningen te onderzoeken. Een legitiem installatieprogramma moet een geldige handtekening hebben en de bedrijfsnaam in het certificaat moet overeenkomen met de naam van de softwareontwikkelaar.
Meer informatie over OnionPoison op Securelist.com.