{"id":28622,"date":"2022-11-09T10:00:42","date_gmt":"2022-11-09T08:00:42","guid":{"rendered":"https:\/\/www.kaspersky.nl\/blog\/?p=28622"},"modified":"2022-11-07T15:49:54","modified_gmt":"2022-11-07T13:49:54","slug":"onionpoison-infected-tor-browser","status":"publish","type":"post","link":"https:\/\/www.kaspersky.nl\/blog\/onionpoison-infected-tor-browser\/28622\/","title":{"rendered":"Download nooit software via YouTube-links"},"content":{"rendered":"

Eerder deze maand hebben Kaspersky-deskundigen een gedetailleerd rapport<\/a> gepubliceerd over een bedreiging die ze OnionPoison hebben genoemd. Ze ontdekten schadelijke code die werd verspreid via YouTube-video\u2019s. In de video werd geadverteerd voor het gebruik van Tor Browser<\/a> om priv\u00e9 op het internet te browsen.<\/p>\n

Deze browser is een aangepaste versie van de Firefox browser, maar dan met maximale privacy-instellingen. Maar de belangrijkste eigenschap is dat het alle gebruikersgegevens kan omleiden via het netwerk van The Onion Router (vandaar de naam Tor). Gegevens worden in versleutelde vorm door verschillende serverlagen gestuurd (vandaar de ui in de naam), waar ze worden vermengd met gegevens van andere gebruikers van het netwerk. Deze methode garandeert privacy: websites zien alleen het adres van de laatste server in het Tor netwerk (de zogenaamde exit node<\/em>) en kunnen het echte IP-adres van de gebruiker niet zien.<\/p>\n

Maar dat is nog niet alles. Het Tor-netwerk kan ook worden gebruikt om de beperkte toegang tot bepaalde sites te omzeilen. In China bijvoorbeeld worden veel \u201cwesterse\u201d internetbronnen geblokkeerd, zodat gebruikers zich tot oplossingen zoals Tor wenden om toegang te krijgen. Overigens is YouTube ook officieel niet beschikbaar in China, dus de video is per definitie gericht op degenen die manieren zoeken om de beperkingen te omzeilen. Het is waarschijnlijk dat dit zeker niet de enige methode was om de OnionPoison-malware te verspreiden, en dat er ook andere links werden geplaatst op bronnen in China.<\/p>\n

Normaal gesproken kan een gebruiker Tor Browser via de offici\u00eble website van het project downloaden. Deze site is echter ook in China geblokkeerd, dus er is niets ongewoons aan dat mensen alternatieve downloadbronnen zoeken. De YouTube-video zelf legt uit hoe je online activiteiten kunt verbergen met behulp van Tor, en in de beschrijving staat een link. Deze verwijst naar een Chinese cloud file-hosting service. Helaas is de versie van Tor Browser die zich daar bevindt ge\u00efnfecteerd met OnionPoison-spyware. Dus in plaats van privacy krijgt de gebruiker precies het tegenovergestelde: al zijn of haar gegevens worden onthuld.<\/p>\n

\"Screenshot<\/a>

Screenshot van een YouTube video die reclame maakt voor een schadelijke versie van Tor Browser. Bron<\/a><\/p><\/div>\n

Wat de ge\u00efnfecteerde Tor Browser over de gebruiker weet<\/h2>\n

De ge\u00efnfecteerde versie van Tor Browser mist een digitale handtekening, wat een grote rode vlag zou moeten zijn voor de veiligheidsbewuste gebruiker. Bij de installatie van zo\u2019n programma geeft het Windows-besturingssysteem hiervoor een waarschuwing. Uiteraard heeft de offici\u00eble versie van Tor Browser een digitale handtekening. De distributie-inhoud in het ge\u00efnfecteerde pakket verschilt echter nauwelijks van het origineel. Maar de kleine verschillen zijn belangrijk.<\/p>\n

Om te beginnen zijn in de ge\u00efnfecteerde browser enkele belangrijke instellingen gewijzigd in vergelijking met de originele Tor Browser. In tegenstelling tot de echte, onthoudt de schadelijke versie de browsergeschiedenis, slaat hij tijdelijke kopie\u00ebn van sites op de computer op en slaat hij automatisch inloggegevens en alle in formulieren ingevoerde gegevens op. Dergelijke instellingen veroorzaken al genoeg schade aan de privacy, maar het wordt alleen maar erger\u2026<\/p>\n

\"Download-pagina<\/a>

Download-pagina van Tor Browser die is ge\u00efnfecteerd met OnionPoison-spyware. Bron<\/a><\/p><\/div>\n

Een van de belangrijkste Tor\/Firefox-bibliotheken is vervangen door schadelijke code. Deze roept de originele bibliotheek aan, zoals vereist, om ervoor te zorgen dat de browser blijft werken. En bij het opstarten richt het zich ook tot de C2-server, vanwaar het een ander kwaadaardig programma downloadt en uitvoert. Bovendien vindt deze volgende fase van de aanval op de gebruiker alleen plaats als zijn of haar echte IP-adres naar een locatie in China wijst.<\/p>\n

Deze \u201ctweede fase\u201d van de aanval voorziet de organisatoren van de aanval van zoveel mogelijk gedetailleerde informatie over de gebruiker, in het bijzonder:<\/p>\n