{"id":29464,"date":"2022-11-04T12:37:56","date_gmt":"2022-11-04T10:37:56","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=29464"},"modified":"2022-11-04T13:36:42","modified_gmt":"2022-11-04T11:36:42","slug":"onionpoison-infected-tor-browser","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/onionpoison-infected-tor-browser\/29464\/","title":{"rendered":"Finger weg von Software-Downloads \u00fcber YouTube-Links"},"content":{"rendered":"

Anfang dieses Monats ver\u00f6ffentlichten die Experten von Kaspersky einen detaillierten Bericht<\/a> \u00fcber eine Bedrohung, der sie den Namen OnionPoison gaben. Dabei entdeckten sie Schadcode, der \u00fcber ein YouTube-Video verbreitet wurde. Das Video warb f\u00fcr den Einsatz des Tor-Browsers<\/a> zum privaten Surfen.<\/p>\n

Tor ist eine modifizierte Version des Firefox-Browsers mit maximalen Datenschutzeinstellungen. Das wichtigste Merkmal ist jedoch die F\u00e4higkeit, alle Benutzerdaten durch das Netzwerk The Onion Router (daher der Name Tor) zu leiten. Die Daten werden verschl\u00fcsselt durch mehrere Serverschichten (daher die Zwiebel (Onion) im Namen) gesendet, wo sie mit Daten anderer Netzwerkbenutzer gemischt werden. Diese Methode garantiert die Vertraulichkeit. Websites sehen nur die Adresse des letzten Servers im Tor-Netzwerk (als Exit Node bezeichnet) und k\u00f6nnen die echte IP-Adresse des Nutzers nicht sehen.<\/p>\n

Aber das ist nicht alles. Sie k\u00f6nnen das Tor-Netzwerk auch verwenden, um den eingeschr\u00e4nkten Zugriff auf bestimmte Websites zu umgehen. Beispielsweise sind in China viele \u201ewestliche\u201c Internetressourcen gesperrt, sodass sich die Benutzer auf L\u00f6sungen wie Tor verlassen, um dennoch darauf zuzugreifen. \u00dcbrigens ist YouTube in China auch nicht offiziell verf\u00fcgbar, daher richtet sich dieses Video per Definition an Personen, die nach M\u00f6glichkeiten suchen, lokale Beschr\u00e4nkungen zu umgehen. Deshalb war dies mit Sicherheit nicht der einzige Weg, auf dem die OnionPoison-Malware verbreitet wurde, und m\u00f6glicherweise wurden auch andere Links zu Ressourcen innerhalb Chinas gepostet.<\/p>\n

Benutzer k\u00f6nnen den Tor-Browser normalerweise von der offiziellen Projekt-Website herunterladen. Allerdings ist auch diese Seite in China gesperrt, daher ist es nicht ungew\u00f6hnlich, dass Nutzer nach alternativen Downloadquellen suchen. Das YouTube-Video selbst erkl\u00e4rt, wie Sie Tor verwenden, um Ihre Online-Aktivit\u00e4ten zu verbergen, mit einem Link in der Beschreibung. Dieser verweist auf einen chinesischen Cloud-Filesharing-Dienst. Leider ist die dort verf\u00fcgbare Version des Tor-Browsers mit OnionPoison-Spyware versehen. Anstelle von Datenschutz erhalten Benutzer also genau das Gegenteil: All ihre Daten werden offengelegt.<\/p>\n

\"Screenshot

Screenshot eines YouTube-Videos, das den mit OnionPoison-Spyware infizierten Tor-Browser verbreitet. Quelle<\/a><\/p><\/div>\n

Diese Informationen hat der infizierte Tor-Browser \u00fcber den Benutzer<\/h2>\n

Infizierte Versionen des Tor-Browsers sind nicht digital signiert. Dies sollte ein gro\u00dfes Warnsignal f\u00fcr sicherheitsbewusste Benutzer sein. Bei der Installation solcher Programme gibt das Windows-Betriebssystem eine Warnung aus. Und selbstverst\u00e4ndlich enth\u00e4lt die offizielle Version von Tor eine digitale Signatur. Die Verteilung des infizierten Pakets ist jedoch fast identisch mit dem Original. Aber die kleinen Unterschiede machen hier den gro\u00dfen Unterschied.<\/p>\n

Zun\u00e4chst wurden im infizierten Browser einige wichtige Einstellungen gegen\u00fcber dem urspr\u00fcnglichen Tor-Browser ge\u00e4ndert. Im Gegensatz zum Original merkt sich die Schadversion Ihren Browserverlauf, speichert tempor\u00e4re Kopien von Websites auf dem Computer und speichert automatisch Ihre Anmeldeinformationen und alle in Formulare eingegebenen Daten. Als w\u00e4re das nicht genug Eingriff in die Privatsph\u00e4re \u2026<\/p>\n

\"Download-Seite

Download-Seite des mit der Spyware OnionPoison infizierten Tor Browsers. Quelle<\/a><\/p><\/div>\n

Eine der wichtigsten Tor\/Firefox-Bibliotheken wurde durch Schadcode ersetzt. Dieser ruft bei Bedarf die urspr\u00fcngliche Bibliothek auf, damit der Browser weiterhin funktioniert. Beim Ger\u00e4testart zapft er zudem den C2-Server an, von dem er ein weiteres Schadprogramm herunterl\u00e4dt und ausf\u00fchrt. Diese zweite Angriffsstufe auf Benutzer findet \u00fcbrigens nur statt, wenn die echte IP-Adresse auf einen Standort in China verweist, und liefert den Organisatoren, die hinter dem Angriff stecken, m\u00f6glichst viele detaillierte Informationen \u00fcber den Benutzer:<\/p>\n