mar. Oct 15th, 2024
OnionPoison : le navigateur Tor infecté se propage
Rate this post

OnionPoison collecte des données telles que les historiques de navigation, les identifiants de compte de réseau social et les réseaux Wi-Fi de ses victimes de manière très ciblée.

Le logiciel espion OnionPoison ne cible actuellement qu’un groupe d’utilisateurs et une nationalité très spécifiques. Il se propage via une chaîne YouTube populaire dédiée à l’anonymat en ligne, qui se classe très haut dans les résultats de recherche.

OnionPoison tente de profiter de la censure chinoise sur Internet

OnionPoison n’est rien de plus qu’un installateur de navigateur Tor piraté. Les experts en sécurité de Securelist (Kaspersky) n’ont découvert le logiciel espion que par accident. Selon les chercheurs en sécurité, la première chose qui a attiré l’attention a été la limitation des téléchargements manipulés vers la Chine.

Ils ont également pu découvrir assez rapidement qu’une chaîne YouTube très populaire en Chine et comptant plus de 180 000 abonnés est chargée de diffuser le lien de téléchargement. Ainsi, celui qui est derrière OnionPoison profite probablement de la censure d’Internet dans l’Empire du Milieu de manière très ciblée. Parce que le téléchargement du navigateur Tor et du site Web Onion sont bloqués en Chine.

Georgy Kucherin, l’auteur de l’actuel « Proof of Concept » de Securelist, confirme cette hypothèse dans son article : « La vidéo est en tête de liste des résultats de recherche pour la requête de recherche « Tor浏览器 » (« Navigateur Tor » en chinois). La description de la vidéo contient deux liens : le premier mène au site officiel de Tor Browser, l’autre à un fichier d’installation malveillant de Tor Browser hébergé sur un service de partage de cloud chinois. Étant donné que le site Web original de Tor est interdit en Chine, les téléspectateurs de la vidéo doivent accéder au lien du service de partage en nuage pour télécharger le navigateur.“.

Le logiciel espion collecte des masses de données utilisateur

Contrairement au navigateur Tor d’origine, cette version « infectée » et modifiée du programme d’installation n’a plus grand-chose à voir avec l’anonymat. Car bien qu’il ne diffère pas du navigateur Tor d’origine à l’extérieur, il transforme involontairement son utilisateur en un « utilisateur transparent ».

Certaines des fonctionnalités cachées d’OnionPoison incluent :

  • Enregistrement de l’historique de navigation.
  • Activer la mise en cache des pages Web sur le disque.
  • Remplir automatiquement les formulaires et enregistrer les informations de connexion.
  • Enregistrez des données de session supplémentaires pour les sites Web.

Mais ce n’est pas tout de la collecte de données. Le logiciel espion collecte également des données sur le PC respectif. Le nom du PC infecté et le nom d’utilisateur de l’utilisateur sont envoyés à un serveur de contrôle.

Le logiciel espion OnionPoison transmet également l’adresse Mac de tous les adaptateurs réseau et des informations sur le disque dur et le système d’exploitation respectif.

OnionPoison devrait-il démasquer les utilisateurs de Tor ?

Le FBI en particulier est connu pour ne pas vouloir publier les détails d’un exploit Tor. Mais le malware OnionDuke APT devrait également être familier à l’un ou l’autre lecteur. Dans les deux cas, le but était de pouvoir démasquer les utilisateurs de Tor.

Les experts en sécurité de Securelist soulignent la fonction spéciale du logiciel espion comme suit : « OnionPoison ne collecte pas automatiquement les mots de passe, les cookies ou les portefeuilles des utilisateurs. Au lieu de cela, les données collecté, qui peuvent être utilisés spécifiquement pour identifier les victimes, telles que B. Historique de navigation, identifiants des comptes de réseaux sociaux et des réseaux Wi-Fi“.

De plus, ils précisent : « Les attaquants peuvent rechercher dans les historiques de navigation enregistrés des traces d’activités illégales ou contacter les victimes via les réseaux sociaux et menacer de les signaler aux autorités“.

Comme il n’est pas possible pour les citoyens chinois d’obtenir Tor auprès d’une source officielle, ils n’ont qu’un seul moyen de se protéger contre ces logiciels espions.

Un installateur de bonne réputation doit avoir une signature valide et le nom de l’entreprise indiqué dans son certificat doit correspondre au nom du développeur du logiciel.

Georgy Kucherin

Bien qu’OnionPoison ne cible actuellement que les utilisateurs en Chine, cela pourrait changer à tout moment. Une variante du logiciel espion pourrait également cibler les utilisateurs de Tor d’autres pays.

OnionPoison : le navigateur Tor infecté se propage