ShellDredd Society

Canal de Youtube Chino promociona un instalador malicioso de Tor para windows.

Durante todo el año de 2022 se ha infectado a miles de víctimas con un instalador malicioso de Tor Browser para sistemas Windows, que se distribuía y promocionaba a través de un vídeo de un canal chino de Youtube con bastante cantidad de suscriptores, unos 181.000 para ser exactos. Este canal y el vídeo en cuestión ha sido eliminado por Youtube pero estuvo activo desde enero hasta finales de septiembre de 2022 gracias al aviso de la empresa de seguridad Kaspersky(conocida empresa rusa orientada a la seguridad tecnológica), esta detecto una telemetría sospechosa en marzo y comenzaron con la investigación bajo el nombre de camapaña "onionPoison", la cual recompiló datos que redireccionaban al canal de youtube comentado en el título del artículo, donde se encontró un vídeo con más de 64.000 visualizaciones y que tenía un enlace a la descarga del instalador malicioso. Las telemetrías obtenidas reportaban que los usuarios afectados eran mayormente chinos, recordemos el estado de gobierno de este país, es común que los habitantes utilicen alternativas para consumir contenido sin censura del exterior y justamente aquí se encontraba el cebo perfecto para los atacantes, de hecho el vídeo estaba etiquetado bajo un hashtag en idioma chino "Tor浏览器" (Tor Browser).

En la descripción del vídeo se explicaban las virtudes del navegador Tor y se ofrecían dos enlaces, el primero redirigía a la web oficial y el segundo al instalador malicioso para windows, debido a que la web oficial de Tor está censurada en tierras chinas, a los visitantes no les quedaba otra que ir al segundo enlace. El ejecutable o instalador estaba subido a un servidor cloud a modo de archivo compartido desde donde se podía descargar gratuitamente.

Datos del instalador malicioso:

✪ MD5-- 9AABCABABD5B677813589F7154302EE0
✪ SHA1-- 7E8B9D2BD32B3AEA0E298B509D3357D4155AF9BC
✪ SHA256-- 877FE96CDFA6F742E538396B9A4EDB76DD269984BFB41CAD5D545E72CE28FFDE
✪ Tiempo de enlace: 2021-sep-25 21:56:47
✪ Tipo de archivo: PE32+ ejecutable (GUI) x86-64, para MS Windows
✪ Compilador: Visual Studio 2003 - SDK 7.10
✪ Tamaño del archivo: 74 MB
✪ Nombre del archivo: torbrowser-install-win64-11.0.3_zh-cn.exe

La copia del navegador es muy buena, idéntica al original en su diseño y usabilidad pero evidentemente no tiene firma digital además de tener archivos dispares que no se encuentran en su homólogo legítimo.

El cebo de la pesca.

La trampa estaba clara, usar un instalador de navegador Tor para sistemas windows (archivo .exe) que ofrecía una modificación del explorador original pero con menos privacidad. Analizando el mismo, se observó que almacenaba el historial de navegación y también registraba los datos introducidos en inputs de las páginas web que la víctima visitaba, como logins, formularios y comentarios, estos datos se enviaban hacia servidores privados cada cierto tiempo. Además este software malicioso contenia un código espía que proporcionaba ejecución de comandos a nivel de sistema y que brindaba a los atacantes un control sobre la máquina víctima, también se encontró una librería maliciosa "freebl3.dll", una modificación de una dll que se encuentra en el navegador original, llamada "freebl.dll".

Datos de la biblioteca freebl3.dll

✪ MD5-- 87E33DF76D70103A660783C02AAC44AC
✪ SHA1-- 04C5A6543E61328B235339358D2E48C0002F0E46
✪ SHA256-- 3BA945FD2C123FEC74EFDEA042DDAB4EB697677C600F83C87E07F895FB1B55E2
✪ Tiempo de enlace: 2021-dic-21 09:44:08
✪ Tipo de archivo: PE32+ ejecutable(DDL) (GUI) x86-64, para MS Windows
✪ Compilador: Visual Studio 2010 – 10.10 SP1
✪ Tamaño del archivo: 114 KB
✪ Nombre del archivo: freebl3.dll

El motivo.

Para sorpresa de todos, este software malicioso no recopila los patrones y datos que suelen hacer los comunes malware, en este caso se centra en recoger información que identifica a las víctimas a través de historiales de navegación, ID de cuentas WeChat y QQ, sin obviar la ejecución de órdenes de sistema en las máquinas víctimas, algo bastante más alarmante. He leído bastantes artículos sobre la utilización de cebos referentes a la privacidad para atacar usuarios afincados en territorios con gobiernos autoritarios y estructuras de información censuradas hasta las trancas, realmente es difícil dar una opinión sobre los motivos y raíces de los atacantes, viniendo de estos territorios incluso se podría decir que es el propio gobierno quien maneja los hilos de estos ataques para controlar a los individuos rebeldes que no respetan las normas y buscan información del exterior, pero como siempre, esto son habladurías de un informático freedom bebedor de café y comedor de coliflor pero seamos sinceros, lo que recoge este software malicioso no es precisamente credenciales bancarias o plataformas de pago, además de usar un gancho intrínsicamente relacionado con individuos que no son bien vistos por las altas esferas del territorio chino.

Fuentes del artículo.

Este artículo es una versión a modo de noticia informativa pero si estás interesado en conocer los detalles técnicos de este instalador malicioso, puedes informarte en la fuente de la cual he extraído la información para esta noticia.

Fuente del artículo: https://securelist.com/onionpoison-infected-tor-browser-installer-youtube/107627/

Recuerda que puedes disfrutar del contenido multimedia de ShellDredd sobre seguridad informática en Twitch, Youtube y por supuesto también en TikTok...😼

Nos vemos en el próximo artículo.

Máquinas CTF & Retos

Máquinas Vulnerables CTF y retos web exclusivos creados con cariño. Ambientaciones personalizadas para que aprender sea también divertido y cultural.
Descubre el mundo la seguridad informática en entornos controlados.

Ir a la sección