Anfang dieses Monats veröffentlichten die Experten von Kaspersky einen detaillierten Bericht über eine Bedrohung, der sie den Namen OnionPoison gaben. Dabei entdeckten sie Schadcode, der über ein YouTube-Video verbreitet wurde. Das Video warb für den Einsatz des Tor-Browsers zum privaten Surfen.
Tor ist eine modifizierte Version des Firefox-Browsers mit maximalen Datenschutzeinstellungen. Das wichtigste Merkmal ist jedoch die Fähigkeit, alle Benutzerdaten durch das Netzwerk The Onion Router (daher der Name Tor) zu leiten. Die Daten werden verschlüsselt durch mehrere Serverschichten (daher die Zwiebel (Onion) im Namen) gesendet, wo sie mit Daten anderer Netzwerkbenutzer gemischt werden. Diese Methode garantiert die Vertraulichkeit. Websites sehen nur die Adresse des letzten Servers im Tor-Netzwerk (als Exit Node bezeichnet) und können die echte IP-Adresse des Nutzers nicht sehen.
Aber das ist nicht alles. Sie können das Tor-Netzwerk auch verwenden, um den eingeschränkten Zugriff auf bestimmte Websites zu umgehen. Beispielsweise sind in China viele „westliche“ Internetressourcen gesperrt, sodass sich die Benutzer auf Lösungen wie Tor verlassen, um dennoch darauf zuzugreifen. Übrigens ist YouTube in China auch nicht offiziell verfügbar, daher richtet sich dieses Video per Definition an Personen, die nach Möglichkeiten suchen, lokale Beschränkungen zu umgehen. Deshalb war dies mit Sicherheit nicht der einzige Weg, auf dem die OnionPoison-Malware verbreitet wurde, und möglicherweise wurden auch andere Links zu Ressourcen innerhalb Chinas gepostet.
Benutzer können den Tor-Browser normalerweise von der offiziellen Projekt-Website herunterladen. Allerdings ist auch diese Seite in China gesperrt, daher ist es nicht ungewöhnlich, dass Nutzer nach alternativen Downloadquellen suchen. Das YouTube-Video selbst erklärt, wie Sie Tor verwenden, um Ihre Online-Aktivitäten zu verbergen, mit einem Link in der Beschreibung. Dieser verweist auf einen chinesischen Cloud-Filesharing-Dienst. Leider ist die dort verfügbare Version des Tor-Browsers mit OnionPoison-Spyware versehen. Anstelle von Datenschutz erhalten Benutzer also genau das Gegenteil: All ihre Daten werden offengelegt.
Diese Informationen hat der infizierte Tor-Browser über den Benutzer
Infizierte Versionen des Tor-Browsers sind nicht digital signiert. Dies sollte ein großes Warnsignal für sicherheitsbewusste Benutzer sein. Bei der Installation solcher Programme gibt das Windows-Betriebssystem eine Warnung aus. Und selbstverständlich enthält die offizielle Version von Tor eine digitale Signatur. Die Verteilung des infizierten Pakets ist jedoch fast identisch mit dem Original. Aber die kleinen Unterschiede machen hier den großen Unterschied.
Zunächst wurden im infizierten Browser einige wichtige Einstellungen gegenüber dem ursprünglichen Tor-Browser geändert. Im Gegensatz zum Original merkt sich die Schadversion Ihren Browserverlauf, speichert temporäre Kopien von Websites auf dem Computer und speichert automatisch Ihre Anmeldeinformationen und alle in Formulare eingegebenen Daten. Als wäre das nicht genug Eingriff in die Privatsphäre …
Eine der wichtigsten Tor/Firefox-Bibliotheken wurde durch Schadcode ersetzt. Dieser ruft bei Bedarf die ursprüngliche Bibliothek auf, damit der Browser weiterhin funktioniert. Beim Gerätestart zapft er zudem den C2-Server an, von dem er ein weiteres Schadprogramm herunterlädt und ausführt. Diese zweite Angriffsstufe auf Benutzer findet übrigens nur statt, wenn die echte IP-Adresse auf einen Standort in China verweist, und liefert den Organisatoren, die hinter dem Angriff stecken, möglichst viele detaillierte Informationen über den Benutzer:
- Informationen über ihren Computer und installierte Programme;
- Den Verlauf aller auf dem Rechner installierten Browser, so wie Google Chrome, Microsoft Edge und selbstverständlich Tor;
- Die IDs der WLAN-Netzwerke, zu denen sie eine Verbindung herstellen;
- Und abschließend: Kontoinformationen der in China beliebten Messenger QQ und WeChat.
Solche Details können verwendet werden, um jede Online-Aktivität mit einem bestimmten Nutzer in Verbindung zu bringen. Anhand der Daten des WLAN-Netzwerks kann sogar ihr Standort ziemlich genau bestimmt werden.
Risiken für die Privatsphäre
Die Malware OnionPoison trägt diesen Namen deshalb, weil sie im Wesentlichen die Privatsphäre zerstört, die von der Onion Router-Software bereitgestellt wird. Das Ergebnis ist eindeutig. Der Versuch, Ihre Online-Aktivitäten zu verbergen, kann Sie für Eindringlinge sichtbar machen. Ironischerweise macht sich OnionPoison im Gegensatz zu ähnlicher Malware nicht die Mühe, Benutzerkennwörter zu stehlen. Scheinbar haben die Angreifer schlichtweg kein Interesse daran. Sinn und Zweck des Angriffs ist die pure Überwachung.
Während Sie zum Schutz Ihrer Privatsphäre keinen Tor-Browser verwenden müssen (eine normale VPN-App reicht in den meisten Fällen aus), bietet die OnionPoison-Studie zwei nützliche Lektionen zum Schutz vor böswilligen Aktivitäten: Erstens: Laden Sie Software nur von offiziellen Websites herunter. Wenn Sie eine zusätzliche Überprüfung wünschen, veröffentlichen viele Softwareentwickler eine sogenannte Prüfsumme. Dies ist eine Art Kennung für den „authentischen“ Installer des jeweiligen Programms. Sie können die heruntergeladene Distribution berechnen, um sicherzustellen, dass sie mit dem Original übereinstimmt.
Im Fall von OnionPoison mussten die Benutzer den Tor-Browser ohnehin aus inoffiziellen Quellen herunterladen, da die offizielle Seite gesperrt war. In solchen Situationen ist die Überprüfung der Prüfsumme sehr nützlich. Aber wie wir bereits erwähnt haben, gab es ein weiteres Warnsignal: das die fehlende digitale Signatur. Wenn Windows eine solche Warnung anzeigt, sollten Sie besser alles doppelt und dreifach überprüfen, bevor Sie das Programm ausführen. Oder Sie lassen es lieber ganz bleiben.
Nun zur zweiten Lektion, die sich im Prinzip aus der ersten ergibt. Laden Sie unter keinen Umständen Programme über irgendwelche YouTube-Links herunter! Ja, man könnte argumentieren, dass OnionPoison nur für Nutzer in China bedrohlich ist und Menschen in anderen Ländern nicht betroffen zu sein scheinen. Tatsächlich ist dies aber nicht der einzige Angriff, bei dem soziale Netzwerke als Köder eingesetzt werden, um leichtgläubige Benutzer in die Falle zu locken. Ein weiterer aktueller Kaspersky-Bericht zeigt, wie Cyberkriminelle die Geräte von Gamern infizieren und ihre Daten erbeuten. Auch in diesem Fall wird die Malware über YouTube verbreitet. Und nicht nur das: Die Malware kompromittierte sogar den eigenen YouTube-Kanal des Opfers und veröffentlichte dort ebenfalls das Schadvideo.
YouTube-basierte Angriffe werden durch Googles Priorisierung von Videos in den Suchergebnissen angeheizt. Diese Art von Angriff ist ein weiteres Beispiel dafür, wie eine scheinbar sichere und reguläre Ressource missbraucht werden kann. Selbst erfahrene Benutzer können nicht immer zwischen echten und schädlichen Links unterscheiden. Diese „Unannehmlichkeiten“ des digitalen Lebens sind die besten Argumente für den Einsatz hochwertiger Sicherheitslösungen. [Kaspersky Premium placeholder]Die Sicherheitssoftware[/Kaspersky Premium placeholder] erkennt Gefahren und blockiert sie, auch wenn Ihre eigene Online-Wachsamkeit nachlässt.