Para peneliti Kaspersky telah menemukan malware tersembunyi dalam versi modifikasi dari Tor Browser yang mempertahankan anonimitas, didistribusikan secara khusus menargetkan pengguna YouTube di China.

Menurut perincian yang diterbitkan dalam posting blog, dilansir laman The Verge, Rabu (5/10/2022), kampanye malware menjangkau pengguna yang tidak curiga melalui video YouTube berbahasa Mandarin tentang tetap anonim saat online.

Selama periode penelitian, video tersebut menjadi hasil teratas untuk kueri YouTube “Tor”, yang diterjemahkan menjadi “Tor browser” dalam bahasa Mandarin.

Di bawah video, satu URL tertaut ke situs web resmi Tor (yang diblokir di China); yang lain menyediakan tautan ke layanan berbagi cloud yang menghosting penginstal untuk Tor, yang dimodifikasi untuk menyertakan kode berbahaya.

Setelah file dieksekusi, ia menginstal versi kerja Tor Browser pada mesin pengguna.

Tetapi browser telah dimodifikasi untuk menyimpan detail riwayat penjelajahan dan data formulir apa pun yang dimasukkan oleh pengguna, yang secara default dilupakan oleh versi asli Tor Browser.

Versi browser yang berbahaya juga mencoba mengunduh muatan malware lebih lanjut dari server jarak jauh, yang menurut para peneliti hanya diinstal pada mesin dengan alamat IP yang berlokasi di China.

Ketika malware tahap kedua diinstal pada mesin target, ia mengambil detail seperti GUID komputer — nomor pengenal unik — bersama dengan nama sistem, nama pengguna saat ini, dan alamat MAC (yang mengidentifikasi mesin di jaringan).

Semua informasi ini dikirim ke server jarak jauh dan menurut analisis Kaspersky, server ini juga dapat meminta data pada aplikasi yang diinstal sistem, riwayat browser — termasuk Tor Browser palsu — dan ID dari setiap akun pesan WeChat dan QQ yang ada di komputer.

Malware tampaknya dirancang untuk mengidentifikasi pengguna daripada mencuri data yang dapat dijual untuk mendapatkan keuntungan.

“Tidak seperti pencuri biasa, implan OnionPoison tidak secara otomatis mengumpulkan kata sandi, cookie, atau dompet pengguna,” catat peneliti Kaspersky.

“Sebaliknya, mereka mengumpulkan data yang dapat digunakan untuk mengidentifikasi para korban, seperti riwayat penelusuran, ID akun jejaring sosial, dan jaringan Wi-Fi.”

Hasilnya adalah program pengawasan yang kuat dan komprehensif yang ditargetkan secara khusus pada pengguna internet China.

Data yang diperoleh akan cukup untuk membangun profil komprehensif tentang identitas pengguna dan kebiasaan penggunaan internet, bahkan saat mereka menjelajah dengan perangkat lunak yang mereka yakini akan membuat mereka tetap anonim.

Perlindungan terbaik terhadap serangan semacam ini adalah mengunduh perangkat lunak hanya dari sumber tepercaya. Tapi sensor internet China yang ekstensif membuat hal ini sulit bagi banyak pengguna di negara tersebut.

Secara default, pemerintah China memblokir akses ke sejumlah besar situs web yang mungkin mendistribusikan informasi kritis terhadap Partai Komunis yang berkuasa, termasuk aplikasi dasar seperti Twitter, Instagram, dan Gmail.