Купить решения «Лаборатории Касперского»
в интернет-магазине Kaspersky-Security.ru
ГлавнаяНовости→Почему не стоит скачивать программы по ссылкам из YouTube | Блог Касперского

Почему не стоит скачивать программы по ссылкам из YouTube | Блог Касперского

В роликах на YouTube распространяли Tor Browser, зараженный шпионским зловредом OnionPoison.

Не так давно эксперты «Лаборатории Касперского» опубликовали подробный отчет об угрозе, которую назвали OnionPoison. Они обнаружили вредоносный код, который распространялся с помощью видео на YouTube. Видео рекламировало возможность приватного просмотра веб-сайтов при помощи популярного инструмента — Tor Browser.

Этот браузер является модифицированной версией браузера Firefox, с максимальными настройками приватности. Но самая главная его особенность состоит в том, что в состав Tor Browser входят инструменты для перенаправления всех данных пользователя через сеть The Onion Router (или Tor, отсюда и название программы). Данные в зашифрованном виде передаются через множество компьютеров, где перемешиваются с данными других участников сети. Такой способ обеспечивает приватность: сайты видят только адрес последнего компьютера в сети Tor, так называемой выходной ноды, и не могут видеть реальный IP-адрес пользователя.

Но это еще не все. Сеть The Onion Router (то есть «луковый маршрутизатор» — собственно, так расшифровывается название Tor) может также использоваться для обхода ограничений доступа к определенным сайтам. Например, в Китае множество «западных» интернет-ресурсов заблокировано, и для доступа к ним пользователи могут использовать такие решения, как Tor. Кстати, YouTube в Китае также официально недоступен, поэтому видеоролик по определению ориентирован на тех, кто ищет способы обхода блокировок. Не исключено, что это был далеко не единственный вариант распространения вредоносной программы, и другие были размещены уже на «локальных» ресурсах в Китае.

В обычной ситуации для работы с Tor Browser пользователь может скачать программу с официального сайта проекта. Однако этот сайт также заблокирован на территории Китая, поэтому поиск альтернативных источников загрузки ПО в данном случае не является чем-то необычным. Само видео объясняет, как скрывать свою активность в Сети при помощи Tor, а в описании к нему есть ссылка. Она ведет на китайский облачный сервис для хостинга файлов. К сожалению, содержащаяся там версия Tor Browser заражена шпионским зловредом OnionPoison. Так что вместо приватности получается ровно обратное: шпион практически полностью раскрывает все данные пользователя.

Скриншот ролика на YouTube, который распространял Tor Browser, зараженный шпионским зловредом OnionPoison

Скриншот видеоролика на YouTube, рекламирующий вредоносную версию браузера Tor. Источник

Что знает о пользователе зараженный браузер Tor

Тревожным звонком для подкованного в вопросах безопасности пользователя в данном случае может стать отсутствие цифровой подписи у модифицированного браузера Tor. При установке такой программы операционная система Windows выводит предупреждение. Естественно, у официальной версии Tor Browser цифровая подпись имеется. Содержимое дистрибутива, впрочем, почти не отличается от оригинала. Но эти небольшие отличия важны.

Во-первых, в модифицированном браузере Firefox, по сравнению с оригинальным Tor Browser, изменены важные настройки. Вредоносная версия, в отличие от настоящей, запоминает историю посещений веб-сайтов, сохраняет временные копии сайтов на компьютере, автоматически сохраняет все данные, введенные в формы на сайтах, а также логины и пароли. Такие настройки уже наносят достаточно серьезный ущерб приватности, но дальше будет хуже.

Страница загрузки Tor Browser, зараженного шпионским зловредом OnionPoison

Страница загрузки Tor Browser, зараженного шпионским зловредом OnionPoison. Источник

Одна из ключевых библиотек Tor/Firefox была подменена на вредоносный код. Он при необходимости обращается к оригинальной библиотеке, чтобы сохранить работоспособность браузера. Но при запуске также происходит обращение к командному серверу, откуда скачивается и запускается еще одна вредоносная программа. Причем этот следующий этап атаки на пользователя происходит только в том случае, если его реальный IP-адрес указывает на местонахождение в Китае.

Эта «вторая стадия атаки» передает ее организаторам максимально подробную информацию о пользователе, а именно:

  • данные о его компьютере и установленных программах;
  • историю посещения сайтов в браузере Tor, а также в обычных браузерах, таких как Google Chrome и Microsoft Edge;
  • идентификаторы беспроводных сетей, к которым подключается пользователь;
  • и наконец, данные об учетных записях в популярных в Китае мессенджерах QQ и WeChat.

Такой набор информации позволит однозначно ассоциировать любую активность в Интернете с конкретным пользователем. Данные о беспроводных сетях, скорее всего, позволят даже с достаточной точностью установить его местоположение.

Риски потери приватности

Атаку OnionPoison назвали так потому, что она, по сути, разрушает приватность, обеспечиваемую набором программ The Onion Router. Последствия такой атаки очевидны: все ваши попытки скрыть вашу активность в Сети, наоборот, раскрывают ее организаторам атаки. Примечательно, что OnionPoison даже не крадет пароли пользователя. Очевидно, что они организаторам без надобности: данная атака была создана исключительно в целях слежки.

Даже если вам не обязательно использовать Tor Browser для сохранения приватности (в некоторых случаях обычного VPN-подключения может быть достаточно), исследование OnionPoison дает два полезных урока по защите от вредоносных действий. Первый: всегда загружайте программное обеспечение с официальных сайтов. Для тех, кто хочет дополнительно удостовериться в подлинности ПО, многие разработчики публикуют так называемые контрольные суммы. Условно это идентификатор «настоящего» установщика программы. Вы можете рассчитать контрольную сумму для загруженного вами дистрибутива и убедиться, что она совпадает с оригиналом.

В случае OnionPoison пользователи были вынуждены скачивать Tor Browser из неофициальных источников, так как официальный заблокирован. В таких ситуациях проверка контрольной суммы крайне желательна. Но в данной атаке был еще один «плохой знак», о котором мы рассказали выше, — отсутствие легитимной цифровой подписи у дистрибутива. Если Windows выводит для вас такое предупреждение, лучше не запускать программу, а все перепроверить.

Сайт, размещенный на командном сервере OnionPoison, визуально является полной копией настоящего www.torproject.org

Сайт, размещенный на командном сервере OnionPoison, визуально является полной копией настоящего www.torproject.org. Источник

Ну и второй урок, являющийся производным первого. Не скачивайте программы по ссылкам из YouTube! Можно говорить о том, что OnionPoison представляет угрозу только жителям Китая, а если вы в другой стране, то и проблемы вроде бы нет. Но на самом деле это не единственная атака, использующая соцсети в качестве приманки для доверчивых пользователей. Совсем недавно другое исследование «Лаборатории Касперского» показало, как злоумышленники заражают любителей компьютерных игр и крадут у них все данные. В случае этой атаки вредоносный код также распространялся через YouTube. Более того, после запуска вредоносного кода происходила кража учетной записи на видеохостинге, принадлежащей самой жертве. И там тоже публиковался ролик с вредоносной ссылкой.

Атакам «через YouTube» отчасти помогает и приоритетное место в результатах поиска, которое компания Google отдает именно видеороликам. Подобные атаки — еще один пример того, как обычные, кажущиеся безопасными ресурсы могут использоваться во вред. Далеко не всегда даже опытный пользователь может отличить настоящую ссылку от вредоносной. Помимо прочего, подобные «неудобства» нашего цифрового мира являются лучшим аргументом для установки качественного защитного решения. Даже если ваша природная осторожность в Интернете даст сбой, защитное ПО поможет вовремя распознать и заблокировать угрозу.


Источник: Лаборатория Касперского

28.10.2022