{"id":27355,"date":"2022-11-04T13:39:53","date_gmt":"2022-11-04T11:39:53","guid":{"rendered":"https:\/\/www.kaspersky.it\/blog\/?p=27355"},"modified":"2022-11-04T13:39:53","modified_gmt":"2022-11-04T11:39:53","slug":"onionpoison-infected-tor-browser","status":"publish","type":"post","link":"https:\/\/www.kaspersky.it\/blog\/onionpoison-infected-tor-browser\/27355\/","title":{"rendered":"Non scaricate mai software dai link di YouTube"},"content":{"rendered":"

All\u2019inizio di questo mese, gli esperti di Kaspersky hanno pubblicato un report<\/a> dettagliato su una minaccia, denominata OnionPoison, e hanno scoperto che un codice dannoso veniva distribuito attraverso un video di YouTube. Il video pubblicizzava l\u2019uso di Tor Browser<\/a> per navigare in modo privato.<\/p>\n

Questo browser \u00e8 una versione modificata del browser Firefox, con le migliori impostazioni per la privacy. Tuttavia, la sua caratteristica pi\u00f9 importante \u00e8 che pu\u00f2 reindirizzare tutti i dati dell\u2019utente attraverso la rete The Onion Router (da cui il nome Tor). I dati vengono trasmessi in forma crittografata attraverso diversi strati di server (per questo il nome \u201ccipolla\u201d, o \u201conion\u201d in inglese), dove vengono mischiati con i dati di altri utenti della rete. Questo metodo garantisce la privacy: i siti web vedono solo l\u2019indirizzo dell\u2019ultimo server della rete Tor (il cosiddetto nodo di uscita) e non possono vedere il vero indirizzo IP dell\u2019utente.<\/p>\n

Ma non \u00e8 tutto. La rete Tor pu\u00f2 anche essere utilizzata per aggirare le restrizioni di accesso a determinati siti. In Cina, ad esempio, molte risorse Internet \u201coccidentali\u201d sono bloccate e gli utenti si rivolgono a soluzioni come Tor per accedervi. Tra l\u2019altro, anche YouTube non \u00e8 ufficialmente disponibile in Cina, quindi, il video \u00e8 giustamente rivolto a coloro che cercano un modo per aggirare le restrizioni. \u00c8 probabile che questo non sia stato l\u2019unico metodo di distribuzione del malware OnionPoison e che i criminali abbiano inserito altri link in altre risorse all\u2019interno della Cina.<\/p>\n

Normalmente, un utente pu\u00f2 scaricare Tor Browser dal sito ufficiale del progetto. Tuttavia, anche questo sito \u00e8 bloccato in Cina, quindi non c\u2019\u00e8 nulla di strano se le persone cerchino fonti di download alternative. Lo stesso video di YouTube spiega come nascondere l\u2019attivit\u00e0 online utilizzando Tor e nella descrizione viene fornito un link. Tale link rimanda a un servizio cinese di cloud file-hosting<\/em>. Sfortunatamente, la versione di Tor Browser che si trova sul quel portale \u00e8 infettata dallo spyware OnionPoison. Quindi, invece della protezione della privacy, l\u2019utente ottiene l\u2019esatto contrario: la diffusione di tutti i suoi dati.<\/p>\n

\"Screenshot

Screenshot di un video di YouTube che pubblicizza una versione dannosa di Tor Browser. Fonte<\/a><\/p><\/div>\n

Quello che il Tor Browser infetto sa dell\u2019utente<\/h2>\n

La versione infetta di Tor Browser \u00e8 priva di firma digitale, il che dovrebbe essere un grande campanello d\u2019allarme per gli utenti attenti alla sicurezza. Quando si installa un programma di questo tipo, il sistema operativo Windows visualizza un avviso. Naturalmente, la versione ufficiale di Tor Browser \u00e8 dotata di firma digitale. I contenuti della versione del pacchetto infetto, tuttavia, differiscono molto poco dall\u2019originale. Ma le piccole differenze sono importanti.<\/p>\n

Prima di tutto, nel browser infetto sono state modificate alcune impostazioni importanti rispetto a quelle del Tor Browser originale. A differenza di quello vero, la versione dannosa ricorda la cronologia del browser, memorizza copie temporanee dei siti sul computer e salva automaticamente le credenziali di accesso e tutti i dati inseriti nei moduli. Tali impostazioni causano gi\u00e0 abbastanza danni alla privacy, ma purtroppo questo non \u00e8 tutto\u2026<\/p>\n

\"Pagina

Pagina di download di Tor Browser infettato dallo spyware OnionPoison. Fonte<\/a><\/p><\/div>\n

Una delle librerie fondamentali di Tor\/Firefox \u00e8 stata sostituita con codice dannoso. Per far funzionare il browser, questo richiama la libreria originale, come richiesto. All\u2019avvio, si rivolge anche al server C2, da cui scarica ed esegue un altro programma dannoso. Inoltre, questa fase successiva dell\u2019attacco all\u2019utente avviene solo se il suo indirizzo IP reale punta a una localit\u00e0 in Cina.<\/p>\n

Questa \u201cseconda fase\u201d dell\u2019attacco fornisce ai cybercriminali il maggior numero possibile di informazioni dettagliate sull\u2019utente, in particolare:<\/p>\n