OnionPoison : un installeur infectieux du moteur Tor distribué par le biais d’une chaine YouTube populaire.
Les experts de Kaspersky ont récemment découvert une campagne malveillante active diffusée via une chaîne YouTube comptant plus de 180 000 abonnés. Les cybercriminels identifiés diffusent des malwares qui leur permettent de collecter les données personnelles des utilisateurs et d’obtenir le contrôle total de l'ordinateur de leur victime. Leur stratégie ? Insérer un lien vers une version infectée de Tor Browser dans la barre de description d'une vidéo à propos du Darknet.
Les chercheurs de Kaspersky ont identifié plusieurs cas d'infections provoquées par des installateurs malveillants de Tor Browser, diffusés par le biais d'une vidéo explicative sur le Darknet sur YouTube. La chaîne à l’origine de la vidéo compte plus de 180 000 abonnés, tandis que la vidéo contenant le lien malveillant dépasse les 64 000 vues.
La plupart des utilisateurs touchés sont originaires de Chine. Le site officiel du navigateur Tor étant bloqué dans le pays, les internautes de ce dernier doivent passer par des sites tiers pour espérer le télécharger. Du pain béni pour les acteurs de la menace, qui passent très souvent par ce type de ressources pour diffuser leurs activités malveillantes.
La version ainsi distribuée de Tor Browser est moins portée sur la confidentialité de ses utilisateurs que sa version originale : elle stocke l'historique de navigation et toutes les données que l'utilisateur saisit dans les formulaires des sites web, et distribue des logiciels espions pour collecter diverses données personnelles et les envoyer sur le serveur des attaquants. Curieusement, contrairement à de nombreux autres stealers, les agents derrière OnionPoison ne semblent pas particulièrement intéressés par la collecte des mots de passe ou des portefeuilles électroniques de ses victimes. Ils s'intéressent plutôt aux données relatives à l'identification de ces dernières, qui peuvent être utilisées pour retrouver leur identité, comme leurs historiques de navigation, leurs identifiants de comptes de réseaux sociaux et leurs réseaux Wi-Fi.
Ce fait est préoccupant car les risques auxquels sont confrontés les internautes dans leur vie numérique peuvent se transposer dans leur vie réelle. Les cybercriminels peuvent recueillir des informations sur la vie privée de la victime, sa famille ou l'adresse de son domicile. De plus, ils peuvent utiliser les informations illégalement obtenues pour faire chanter leurs victimes.
Le spyware permet également d'exécuter des commandes shell sur l'appareil infecté.
« Il est aujourd’hui indéniable que le contenu vidéo a pris le dessus sur l’écrit, et que les plateformes vidéo sont plus souvent utilisées comme moteurs de recherche. Les agents malveillants sont parfaitement au fait des tendances en termes de consommation et d’utilisation d’internet, et c’est pour cette raison qu’ils ont commencé à distribuer leurs logiciels malveillants sur les plateformes vidéo les plus fréquentées. Cette tendance ne se démentira pas de sitôt, c'est pourquoi il est vivement recommandé d'installer une solution de sécurité fiable pour rester protégé contre toutes les menaces potentielles », commente Georgy Kucherin, expert en sécurité chez Kaspersky.
Pour vous protéger des attaques de ce type, ne téléchargez pas de logiciels depuis des sites tiers non vérifiés. Si vous n'avez pas la possibilité de consulter les sites officiels, il est possible de vérifier l'authenticité des installateurs suspects en examinant leur signature numérique. Un programme d'installation légitime doit avoir une signature valide, et le nom de la société spécifié dans son certificat doit correspondre au nom du développeur du logiciel.
Pour en savoir plus sur OnionPoison, rendez-vous sur Securelist.com.
OnionPoison : un installeur infectieux du moteur Tor distribué par le biais d’une chaine YouTube populaire.
Kaspersky
Articles connexes Communiqués de presse
Selon Kaspersky, la moitié des appareils pris pour cible par des infostealers sont infectés par le logiciel malveillant Redline
D’après Kaspersky Digital Footprint Intelligence, plus de la moitié des appareils visés par des attaques de vol de mots de passe en 2023, l’ont été par le logiciel malveillant Redline (55 %). Bien que le marché des logiciels malveillants continue de croître avec de nouveaux acteurs tels que Lumma, sur les trois dernières années, Redline reste le logiciel malveillant de vols de données le plus utilisé par les cybercriminels.Lire la suite >53 % des appareils infectés par des logiciels malveillants voleurs de données sont des appareils d'entreprise, selon Kaspersky
Selon l’équipe Digital Footprint Intelligence de Kaspersky, la proportion d'appareils d'entreprise infectés par des infostealers a augmenté d'un tiers depuis 2020. 21 % des employés dont les appareils ont été infectés ont exécuté le logiciel malveillant à plusieurs reprises. En réponse à la menace croissante que représentent les info-stealers en entreprise, les experts de Kaspersky sensibilisent au phénomène et proposent des stratégies pour atténuer les risques associés.Lire la suite >Les entreprises investissent plus de 100.000 $ par an pour renforcer les compétences de leurs équipes de cybersécurité
Dans sa dernière étude, Kaspersky révèle que plus de 70 % des entreprises consacrent plus de 100 000 $ (environ 92 000 €) par an pour des formations supplémentaires destinées à leurs spécialistes en cybersécurité afin de maintenir leurs compétences à jour. Cependant, les entreprises interrogées soulignent également un manque de cours pertinents concernant les tendances cyber émergentes : le marché de la formation n’est actuellement pas suffisamment fourni, et les formations choisies n’apportent pas toujours le résultat escompté.Lire la suite >