OnionPoison sammelt ganz gezielt Daten wie Browserverläufe, Kennungen von Konten in sozialen Netzwerken und die Wi-Fi-Netzwerke seiner Opfer.
Die OnionPoison-Spyware hat es derzeit nur auf eine ganz bestimmte Nutzergruppe und auch Nationalität abgesehen. Er verbreitet sich über einen beliebten YouTube-Kanal, der sich der Anonymität im Internet widmet und in den Suchergebnissen sehr weit oben steht.
OnionPoison versucht die Internetzensur Chinas auszunutzen
OnionPoison ist nichts anderes als ein manipulierter Tor-Browser-Installer. Die Sicherheitsexperten von Securelist (Kaspersky) kamen der Spyware eigentlich nur durch einen Zufall auf die Schliche. Die erste Auffälligkeit war laut den Sicherheitsforschern die Begrenzung der manipulierten Downloads auf China.
Relativ schnell konnten sie zudem herausfinden, dass ein in China sehr beliebter YouTube-Kanal mit über 180.000 Abonnenten für die Verbreitung des Downloadlinks verantwortlich ist. Wer auch immer hinter OnionPoison steckt, nutzt also vermutlich ganz gezielt die Internetzensur im Land der Mitte aus. Denn sowohl der Download des Tor-Browsers als auch die Onion-Webseite sind in China gesperrt.
Georgy Kucherin, der Autor des aktuellen „Proof of Concept“ von Securelist, bestätigt diese Vermutung in seinem Artikel: „Das Video führt die Liste der Suchergebnisse für die Suchanfrage „Tor浏览器“ („Tor Browser“ auf Chinesisch) an. Die Beschreibung des Videos enthält zwei Links: der erste führt zur offiziellen Website des Tor-Browsers, der andere zu einer bösartigen Installationsdatei des Tor-Browsers, die auf einem chinesischen Cloud-Sharing-Dienst gehostet wird. Da die ursprüngliche Tor-Website in China verboten ist, müssen die Zuschauer des Videos zum Link des Cloud-Sharing-Dienstes navigieren, um den Browser herunterzuladen„.
Die Spyware sammelt massenhaft Nutzerdaten
Im Gegensatz zum originalen Tor-Browser hat diese „infizierte“ und modifizierte Version des Installers nicht mehr viel mit Anonymität zu tun. Denn obwohl er sich rein äußerlich nicht vom Original Tor-Browser unterscheidet, so macht er seinen Nutzer unfreiwillig zum „Gläsernen User“.
Zu einigen der versteckten Funktionen von OnionPoison gehören unter anderem:
- Das Speichern des Browserverlaufs.
- Eine Zwischenspeicherung von Webseiten auf der Festplatte aktivieren.
- Das automatische Ausfüllen von Formularen und das Speichern von Anmeldedaten.
- Zusätzliche Sitzungsdaten für Websites speichern.
Damit aber noch nicht genug der Datensammelei. Die Spyware sammelt zusätzlich so einige Daten über den jeweiligen PC. Sowohl der Name des infizierten PCs als auch der Benutzername des Users werden an einen Controllserver gesendet.
Die OnionPoison-Spyware übermittelt zudem noch die Mac-Adresse sämtlicher Netzwerkadapter und Informationen über die Festplatte und auch das jeweilige Betriebssystem.
Sollen mit OnionPoison Tor-Nutzer demaskiert werden?
Gerade das FBI ist bekannt dafür, Details zu einem Tor-Exploit nicht veröffentlichen zu wollen. Aber auch die OnionDuke APT-Malware dürfte dem ein oder anderen Leser noch ein Begriff sein. In beiden Fällen war das Ziel, Tor-Nutzer demaskieren zu können.
Die Sicherheitsexperten von Securelist heben die spezielle Funktion der Spyware folgendermaßen hervor: „OnionPoison sammelt nicht automatisch Benutzerkennwörter, Cookies oder Wallets. Stattdessen werden Daten gesammelt, die gezielt zur Identifizierung der Opfer verwendet werden können, wie z. B. Browserverläufe, Kennungen von Konten in sozialen Netzwerken und Wi-Fi-Netzwerke„.
Des Weiteren geben sie zu bedenken: „Die Angreifer können die gespeicherten Browserverläufe nach Spuren illegaler Aktivitäten durchsuchen oder die Opfer über soziale Netzwerke kontaktieren und ihnen damit drohen, sie bei den Behörden anzuzeigen„.
Da es für chinesische Staatsbürger nicht möglich ist, Tor über eine offizielle Quelle zu beziehen, bleibt ihnen nur eine Möglichkeit, sich vor derartiger Spyware zu schützen.
Ein seriöses Installationsprogramm sollte über eine gültige Signatur verfügen, und der in seinem Zertifikat angegebene Firmenname sollte mit dem Namen des Softwareentwicklers übereinstimmen.
Georgy Kucherin
Derzeit hat es OnionPoison zwar nur auf Nutzer in China abgesehen, aber das könnte sich jederzeit ändern. Eine Variation der Spyware könnte auch Tor-User aus anderen Ländern ins Visier nehmen.