Hacker packen Malware in anonymisierenden Web-Browser
Der Tor-Browser sorgt eigentlich dafür, dass seine Nutzerinnen und Nutzer praktisch unentdeckt im Internet surfen können. Doch die Kopien des Programms, welche Cyberkriminelle anbieten, tun genau das Gegenteil.
Wer anonym im Internet unterwegs sein will oder muss, ist mit dem Tor-Browser gut bedient. Das Programm verbindet sich über das Tor-Netzwerk mit dem Internet. Tor steht dabei für "The Onion Router" und beschreibt die Funktionsweise des Netzwerks: Während gewöhnliche Browser jeweils eine möglichst direkte Verbindung zu der besuchten Website herstellen, leitet der Tor-Browser den verschlüsselten Datenverkehr durch mehrere Zwischenschichten, die wiederum von vielen freiwilligen Helfern weltweit betrieben werden. So soll es etwa für Website-Betreiber, Internet-Provider aber auch Überwachungsbehörden praktisch unmöglich werden, Nutzer im Internet zu verfolgen, wie der Tor-Website zu entnehmen ist.
Doch wo "Tor" draufsteht, steckt nicht immer "Tor" drin. Der russische Cybersecurity-Lösungsanbieter Kaspersky spricht von einer Kampagne bösartiger Hacker, die mit Malware infizierte Kopien des Tor-Browsers in Umlauf brachten. Ihre Version - von Kaspersky "Onionpoison" getauft - sei so konfiguriert, dass sie sich weniger anonym verhalte als das ursprüngliche Tor-Konzept. So soll sie den Browserverlauf und alle vom Nutzer eingegebenen Daten speichern. Zudem verteilt sie Spyware, um verschiedene persönliche Daten zu sammeln und an den Server der Angreifer zu senden.
Die verseuchte Tor-Version macht also in vielen Fällen das Gegenteil dessen, was das Tor-Netzwerk verspricht. Zwar sammle der gehackte Browser keine Nutzer-Passwörter, dafür allerdings andere sensible Daten, die dazu verwendet werden können, die Identität der Anwenderinnen und Anwender aufzuspüren und dann deren Browserverläufe, Konto-IDs in sozialen Netzwerken und WLAN-Netzwerken nachzuvollziehen, erklärt Kaspersky.
Menschen aus China im Visier
Dreist ist auch die Art, wie die Cyberkriminellen ihre schädliche Version des Tor-Browsers verteilen. Laut Kaspersky platzierten sie den Link zur infizierten Version des Tor-Browsers in der Beschreibungsleiste eines Youtube-Videos über das Darknet. Das Video sei bereits 64'000 Mal abgerufen worden und der Kanal selbst habe über 180'000 Abonnenten.
Laut den Daten, die Kaspersky vorliegen, kommen sämtliche Opfer dieser Malware-Kampagne aus China. Aus den Ausführungen der Sicherheitsforscher geht hervor, dass die Hacker dies wohl so planten: Das Video, in dessen Beschreibung der schädliche Link eingefügt wurde, erscheint in der Suche nach dem Begriff "T<or浏览器" (T<or-Browser in Chinesisch) an erster Stelle. Der Link selber gehört zu einem chinesischen Cloud-Provider. Während China die offizielle Website des Tor-Projekts sperrt, können Nutzerinnen und Nutzer aus China problemlos auf den verseuchten Link zugreifen.
"Mit Onionpoison sehen wir, wie Videoinhalte Texte ersetzen; Videoplattformen werden immer häufiger als Suchmaschinen genutzt", kommentiert Georgy Kucherin, Sicherheitsexperte bei Kaspersky. "Cyberkriminelle sind sich der aktuellen Trends bei der Internetnutzung bewusst und haben daher damit begonnen, Malware auf beliebten Videoplattformen zu verbreiten. Dieser Trend wird uns noch einige Zeit begleiten".
Abgesehen von einer zuverlässigen Sicherheitslösung, offeriert Kaspersky noch zwei weitere Tipps zum Schutz vor infizierten Programmen wie "Onionpoison": Software sollte nur von vertrauenswürdigen Quellen heruntergeladen werden. Wenn die Verwendung offizieller Websites nicht in Frage kommt, kann die Seriosität von Programmen über deren digitale Signatur überprüft werden. Ein seriöses Installationsprogramm sollte über eine gültige Signatur verfügen und der in seinem Zertifikat angegebene Firmenname mit dem Namen des Softwareentwicklers übereinstimmen.
Im August dieses Jahres warnte Kaspersky vor Cyberangriffen via Microsoft Office. Im 2. Quartal 2022 seien weltweit mehr als eine halbe Million Menschen über nicht gepatchte Sicherheitslücken in Microsoft-Office-Anwendungen angegriffen worden. Für die Schweiz errechnete das Unternehmen eine Zunahme von mehr als 80 Prozent, wie Sie hier lesen.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.