Foi descoberta uma versão modificada do Tor Browser que está espionando os chineses

Especialistas da Kaspersky Lab descobriram uma versão modificada do navegador Tor que coleta dados confidenciais sobre usuários chineses – o histórico de visitas a sites e informações que permitem que eles sejam identificados.

Fonte da imagem: Michael Geiger / pixabay.com

O navegador modificado salva o histórico das páginas visitadas, bem como os dados inseridos nos campos dos formulários da web. O programa vem com uma biblioteca que coleta informações adicionais: o nome e a localização do computador, o nome de usuário e o endereço MAC do adaptador de rede. Existe até a capacidade de executar comandos remotamente através do terminal – em teoria, isso dá ao operador controle total sobre a máquina da vítima.

O navegador Tor foi projetado para fornecer anonimato na Internet. É frequentemente usado por elementos criminosos, embora cidadãos conscientes também o usem, em particular, para contornar o bloqueio. No entanto, o acesso a esse recurso é bloqueado na China, portanto, os residentes do país às vezes são forçados a baixar o arquivo de instalação de recursos de terceiros. Os especialistas da Kaspersky Lab descobriram uma distribuição falsa em um serviço chinês de hospedagem de arquivos em nuvem: a interface do programa é externamente idêntica à versão oficial, mas a versão modificada não possui assinatura digital e alguns dos arquivos incluídos no pacote são claramente diferentes dos os originais. A propósito, o projeto Tor oferece aos usuários chineses o envio de arquivos de instalação por e-mail.

Na Kaspersky Lab, essa campanha foi convencionalmente designada “OnionPoison” em homenagem ao principal método de roteamento da rede Tor. Uma característica distintiva da campanha é seu foco em usuários chineses: o programa gêmeo tenta entrar em contato com o C&C e baixar a biblioteca de espionagem apenas se o usuário tiver um endereço IP chinês. Ressalta-se que o programa não tenta coletar senhas, cookies ou endereços de carteiras criptográficas – está interessado apenas em dados que possam ser usados ​​para identificar o usuário: identificadores de contas em redes sociais e redes Wi-Fi.